คุณกำลังดูเวอร์ชันก่อนหน้าของกระดานข่าวความปลอดภัย สำหรับเวอร์ชันล่าสุด กรุณาไปที่: "ปัญหาด้านความปลอดภัยของคอนเทนเนอร์ (CVE-2019-5736)"

11 กุมภาพันธ์ 2019 11:00 น. ตามเวลา PST

ตัวระบุ CVE: CVE-2019-5736

AWS ทราบถึงปัญหาด้านความปลอดภัยที่เพิ่งตรวจพบ ซึ่งกระทบระบบการจัดการคอนเทนเนอร์โอเพนซอร์สจำนวนมาก (CVE-2019-5736) ลูกค้าไม่จำเป็นต้องดำเนินการใดๆ เพื่อแก้ไขปัญหาดังกล่าว ยกเว้นบริการของ AWS ที่แสดงอยู่ด้านล่างนี้

Amazon Linux

Docker เวอร์ชันอัปเดต (docker-18.06.1ce-7.amzn2) ใช้งานได้สำหรับที่เก็บเพิ่มเติมของ Amazon Linux 2 และที่เก็บของ Amazon Linux AMI 2018.03 (ALAS-2019-1156) AWS ขอแนะนำให้ลูกค้าที่ใช้ Docker ใน Amazon Linux เปิดใช้อินสแตนซ์ใหม่จาก AMI เวอร์ชันล่าสุด สามารถดูข้อมูลเพิ่มเติมได้ในศูนย์ความปลอดภัยของ Amazon Linux

Amazon Elastic Container Service (Amazon ECS)

AMI ที่ปรับให้เหมาะสมกับ Amazon ECS รวมทั้ง Amazon Linux AMI, Amazon Linux 2 AMI และ AMI ที่ปรับให้เหมาะสมกับ GPU ใช้งานได้แล้วในขณะนี้ ตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทั่วไป เราขอแนะนำให้ลูกค้า ECS อัปเดตการกำหนดค่าของตนเพื่อเปิดใช้อินสแตนซ์คอนเทนเนอร์ใหม่จาก AMI เวอร์ชันล่าสุด ลูกค้าควรจะแทนที่อินสแตนซ์คอนเทนเนอร์ที่มีอยู่ด้วย AMI เวอร์ชันใหม่ เพื่อแก้ไขปัญหาที่ได้อธิบายไว้ข้างต้น สามารถดูคำแนะนำในการแทนที่อินสแตนซ์คอนเทนเนอร์ที่มีอยู่ได้ในเอกสารประกอบ ECS สำหรับ Amazon Linux AMI, Amazon Linux 2 AMI และ AMI ที่ปรับให้เหมาะสมกับ GPU

ขอแนะนำให้ลูกค้า Linux ที่ไม่ได้ใช้ AMI ที่ปรับให้เหมาะสมกับ ECS ปรึกษาผู้จำหน่ายระบบปฏิบัติการ ซอฟต์แวร์ หรือ AMI ของคุณ เพื่อขอรับการอัปเดตและคำแนะนำตามความจำเป็น สามารถดูคำแนะนำเกี่ยวกับ Amazon Linux ได้ในศูนย์ความปลอดภัยของ Amazon Linux

Amazon Elastic Container Service for Kubernetes (Amazon EKS)

AMI ที่ปรับให้เหมาะสมกับ Amazon EKS ที่อัปเดตแล้วพร้อมใช้งานใน AWS Marketplace ตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทั่วไป เราขอแนะนำให้ลูกค้า EKS อัปเดตการกำหนดค่าของตนเพื่อเปิดใช้โหนดผู้ปฏิบัติงานใหม่จาก AMI เวอร์ชันล่าสุด ลูกค้าควรจะแทนที่โหนดผู้ปฏิบัติงานที่มีอยู่ด้วย AMI เวอร์ชันใหม่ เพื่อแก้ไขปัญหาที่ได้อธิบายไว้ข้างต้น สามารถดูคำแนะนำเกี่ยวกับวิธีอัปเดตโหนดผู้ปฏิบัติงานได้ในเอกสารประกอบ EKS

ลูกค้า Linux ที่ไม่ได้ใช้ AMI ที่ปรับให้เหมาะสมกับ EKS ควรติดต่อผู้จำหน่ายระบบปฏิบัติการของตนเพื่อขอรับการอัปเดตที่จำเป็นในการแก้ไขปัญหาเหล่านี้ สามารถดูคำแนะนำเกี่ยวกับ Amazon Linux ได้ในศูนย์ความปลอดภัยของ Amazon Linux

AWS Fargate

Fargate เวอร์ชันอัปเดตใช้งานได้สำหรับแพลตฟอร์มเวอร์ชัน 1.3 ที่แก้ไขปัญหาที่ได้อธิบายไว้ใน CVE-2019-5736 เวอร์ชันแก้ไขของแพลตฟอร์มเวอร์ชันเก่า (1.0.0, 1.1.0, 1.2.0) จะใช้งานได้ภายในวันที่ 15 มีนาคม 2019

ลูกค้าที่ใช้งานบริการของ Fargate ควรเรียกใช้ UpdateService โดยเปิดใช้งาน "--force-new-deployment" เพื่อเปิดใช้งานใหม่ทั้งหมดบนแพลตฟอร์มเวอร์ชัน 1.3 ล่าสุด ลูกค้าที่เรียกใช้งานที่ทำงานเอกเทศควรหยุดงานที่มีอยู่ แล้วเปิดใช้ใหม่โดยใช้เวอร์ชันล่าสุด สามารถดูคำแนะนำเฉพาะได้ในเอกสารประกอบการอัปเดต Fargate

งานทั้งหมดที่ไม่ได้อัปเกรดเป็นเวอร์ชันแก้ไขจะถูกเลิกใช้ภายในวันที่ 19 เมษายน 2019 ลูกค้าที่ใช้งานที่ทำงานเอกเทศต้องเปิดใช้งานใหม่เพื่อแทนที่งานที่เลิกใช้แล้ว สามารถดูรายละเอียดเพิ่มเติมได้ในเอกสารประกอบการเลิกใช้งานของ Fargate

AWS IoT Greengrass

AWS IoT GreenGrass Core เวอร์ชันอัปเดตใช้งานได้สำหรับ 1.7.1 และ 1.6.1 เวอร์ชันอัปเดตต้องใช้คุณสมบัติที่มีอยู่ในเคอร์เนลของ Linux เวอร์ชัน 3.17 ขึ้นไป สามารถดูคำแนะนำเกี่ยวกับวิธีอัปเดตเคอร์เนลของคุณได้ที่นี่

ตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทั่วไป เราขอแนะนำให้ลูกค้าที่ใช้งาน GreenGrass Core เวอร์ชันใดก็ตามทำการอัปเกรดเป็นเวอร์ชัน 1.7.1 สามารถดูคำแนะนำสำหรับการอัปเดตผ่านทางอากาศได้ที่นี่

AWS Batch

AMI ที่ปรับให้เหมาะสมกับ Amazon ECS ที่อัปเดตแล้วใช้งานได้โดยเป็น AMI สภาพแวดล้อมการประมวลผลตามค่าเริ่มต้น ตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทั่วไป เราขอแนะนำให้ลูกค้า Batch แทนที่สภาพแวดล้อมการประมวลผลที่มีอยู่ของตนด้วย AMI ที่ใช้งานได้ล่าสุด สามารถดูคำแนะนำสำหรับการเปลี่ยนสภาพแวดล้อมการประมวลผลได้ในเอกสารประกอบผลิตภัณฑ์ Batch

ลูกค้า Batch ที่ไม่ได้ใช้ AMI ตามค่าเริ่มต้น ควรติดต่อผู้จำหน่ายระบบปฏิบัติการของตนเพื่อขอรับการอัปเดตที่จำเป็นในการแก้ไขปัญหาเหล่านี้ สามารถดูคำแนะนำสำหรับ AMI แบบกำหนดเองของ Batch ได้ในเอกสารประกอบผลิตภัณฑ์ Batch

AWS Elastic Beanstalk

แพลตฟอร์มที่ใช้ AWS Elastic Beanstalk Docker เวอร์ชันอัปเดตใช้งานได้ ลูกค้าที่ใช้การอัปเดตแพลตฟอร์มที่มีการจัดการ จะได้รับการอัปเดตโดยอัตโนมัติให้เป็นแพลตฟอร์มเวอร์ชันล่าสุดในกำหนดเวลาการดูแลรักษาที่ได้เลือกไว้โดยไม่จำเป็นต้องดำเนินการใดๆ นอกจากนี้ ลูกค้ายังสามารถอัปเดตได้ทันทีโดยไปที่หน้าการกำหนดค่าการอัปเดตที่มีการจัดการ แล้วคลิกที่ปุ่ม "นำไปใช้ทันที" ลูกค้าที่ไม่ได้เปิดใช้งานการอัปเดตแพลตฟอร์มที่มีการจัดการสามารถอัปเดตเวอร์ชันแพลตฟอร์มของสภาพแวดล้อมของตนได้โดยทำตามคำแนะนำที่นี่

AWS Cloud9

สภาพแวดล้อม AWS Cloud9 เวอร์ชันอัปเดตที่มี Amazon Linux ใช้งานได้ ตามค่าเริ่มต้น ลูกค้าจะนำโปรแกรมแก้ไขด้านความปลอดภัยมาใช้ในการบูตครั้งแรก ลูกค้าที่มีสภาพแวดล้อม AWS Cloud9 ที่ใช้ EC2 ที่มีอยู่ควรเปิดใช้อินสแตนซ์ใหม่จาก AWS Cloud9 เวอร์ชันล่าสุด สามารถดูข้อมูลเพิ่มเติมได้ในศูนย์ความปลอดภัยของ Amazon Linux

ลูกค้า AWS Cloud9 ที่ใช้สภาพแวดล้อม SSH ที่ไม่ได้สร้างด้วย Amazon Linux ควรติดต่อผู้จำหน่ายระบบปฏิบัติการของตนเพื่อขอรับการอัปเดตที่จำเป็นในการแก้ไขปัญหาเหล่านี้

AWS SageMaker

Amazon SageMaker เวอร์ชันอัปเดตใช้งานได้ ลูกค้าที่ใช้คอนเทนเนอร์อัลกอริทึมหรือคอนเทนเนอร์เฟรมเวิร์กตามค่าเริ่มต้นของ Amazon SageMaker สำหรับการสอน การปรับแต่ง การแปลงแบตช์ หรือตำแหน่งข้อมูล จะไม่ได้รับผลกระทบ ลูกค้าที่เรียกใช้งานการติดป้ายหรือการคอมไพล์ก็ไม่ได้รับผลกระทบเช่นกัน ลูกค้าที่ไม่ได้ใช้โน๊คบุ๊ค Amazon SageMaker ในการเรียกใช้คอนเทนเนอร์ Docker จะไม่ได้รับผลกระทบ นอกจากนี้ โน๊ตบุ๊ค Amazon SageMaker ทั้งหมดที่เปิดใช้ในวันที่ 11 กุมภาพันธ์หรือหลังจากนั้นที่มีอินสแตนซ์ CPU จะมีการอัปเดตล่าสุดรวมอยู่แล้ว และลูกค้าไม่จำเป็นต้องดำเนินการใดๆ ตำแหน่งข้อมูล งานการติดป้าย การสอน การปรับแต่ง และการแปลงแบตช์ทั้งหมดที่เปิดใช้ในวันที่ 11 กุมภาพันธ์หรือหลังจากนั้น จะมีการอัปเดตล่าสุดรวมอยู่แล้ว และลูกค้าไม่จำเป็นต้องดำเนินการใดๆ

AWS ขอแนะนำให้ลูกค้าที่เรียกใช้งานการสอน การปรับแต่ง และการแปลงแบตช์ที่มีโค้ดแบบกำหนดเองที่สร้างขึ้นก่อนวันที่ 11 กุมภาพันธ์ ควรหยุดงานเหล่านั้นและเริ่มต้นใหม่เพื่อให้มีการอัปเดตล่าสุดรวมอยู่ด้วย การดำเนินการดังกล่าวสามารถทำได้จากคอนโซล Amazon SageMaker หรือทำตามคำแนะนำที่นี่

Amazon SageMaker จะอัปเดตตำแหน่งข้อมูลทั้งหมดที่กำลังให้บริการให้เป็นซอฟต์แวร์ล่าสุดโดยอัตโนมัติทุกสี่สัปดาห์ คาดว่าตำแหน่งข้อมูลทั้งหมดที่สร้างขึ้นก่อนวันที่ 11 กุมภาพันธ์น่าจะได้รับการอัปเดตภายในวันที่ 11 มีนาคม หากมีปัญหาใดๆ กับการอัปเดตอัตโนมัติและลูกค้าจำเป็นต้องดำเนินการเพื่ออัปเดตตำแหน่งข้อมูลของตน Amazon SageMaker จะประกาศการแจ้งเตือนใน Personal Health Dashboard ของลูกค้า ลูกค้าที่ต้องการอัปเดตตำแหน่งข้อมูลของตนเร็วกว่านั้น สามารถอัปเดตตำแหน่งข้อมูลของตนได้ด้วยตนเองจากคอนโซล Amazon SageMaker หรือใช้การดำเนินการ UpdateEndpoint API ได้ทุกเวลา เราขอแนะนำให้ลูกค้าที่มีตำแหน่งข้อมูลที่เปิดใช้งานการปรับขยายอัตโนมัติ ใช้ความระมัดระวังเพิ่มเติมล่วงหน้าโดยทำตามคำแนะนำที่นี่

AWS ขอแนะนำให้ลูกค้าที่ใช้งานคอนเทนเนอร์ Docker ในโน๊ตบุ๊ค Amazon SageMaker ที่ทำงานด้วยอินสแตนซ์ CPU หยุดอินสแตนซ์ของโน๊ตบุ๊ค Amazon SageMaker ของตน และเริ่มใหม่เพื่อรับซอฟต์แวร์ที่ใช้งานได้ล่าสุด ซึ่งสามารถทำได้จากคอนโซล Amazon SageMaker หรืออีกวิธีหนึ่ง ลูกค้าสามารถหยุดอินสแตนซ์ของโน๊ตบุ๊คก่อนโดยใช้ StopNotebookInstance API แล้วจึงเริ่มอินสแตนซ์ของโน๊ตบุ๊คโดยใช้ StartNotebookInstance API

โน๊ตบุ๊ค Amazon SageMaker เวอร์ชันอัปเดตที่มีอินสแตนซ์ GPU จะใช้งานได้สำหรับลูกค้าในเวลาไม่นานหลังจากที่ออกโปรแกรมแก้ไข Nvidia แล้ว กระดานข่าวนี้จะได้รับการอัปเดตเมื่อมีเวอร์ชันอัปเดต ลูกค้าที่ใช้งานคอนเทนเนอร์ Docker บนโน๊ตบุ๊คที่มีอินสแตนซ์ GPU สามารถใช้มาตรการป้องกันได้โดยการหยุดอินสแตนซ์โน๊ตบุ๊คของตนชั่วคราวผ่านทางคอนโซล หรือใช้ StopNotebookInstance API แล้วจึงเริ่มอินสแตนซ์โน๊ตบุ๊คโดยใช้ StartNotebookInstance เมื่อเวอร์ชันอัปเดตใช้งานได้แล้ว

AWS RoboMaker

สภาพแวดล้อมการพัฒนา AWS RoboMaker เวอร์ชันอัปเดตใช้งานได้ สภาพแวดล้อมการพัฒนาใหม่จะใช้เวอร์ชันล่าสุด ตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทั่วไป AWS ขอแนะนำให้ลูกค้าที่ใช้สภาพแวดล้อมการพัฒนา RoboMaker รักษาสภาพแวดล้อม Cloud9 ของตนให้อัปเดตเป็นเวอร์ชันล่าสุด

AWS IoT GreenGrass Core เวอร์ชันอัปเดตใช้งานได้ ลูกค้าทั้งหมดที่ใช้การจัดการกลุ่ม RoboMaker ควรอัปเกรด GreenGrass Core เป็นเวอร์ชัน 1.7.1 สามารถดูคำแนะนำสำหรับการอัปเกรดผ่านทางอากาศได้ที่นี่

AWS Deep Learning AMI

Deep Learning Base AMI และ Deep Learning AMI เวอร์ชันอัปเดตสำหรับ Amazon Linux ใช้งานได้ใน AWS Marketplace AWS ขอแนะนำให้ลูกค้าที่เคยใช้ Docker กับ Deep Learning AMI หรือ Deep Learning Base AMI เปิดใช้อินสแตนซ์ใหม่ของ AMI เวอร์ชันล่าสุด (v21.1 สำหรับ Deep Learning AMI และ v16.1 สำหรับ Deep Learning Base AMI บน Amazon Linux) สามารถดูข้อมูลเพิ่มเติมได้ในศูนย์ความปลอดภัยของ Amazon Linux นอกจากนี้ AWS ยังขอแนะนำให้ลูกค้าติดตามกระดานข่าวความปลอดภัยจาก Nvidia อีกด้วย เพื่อรับการอัปเดตเป็น nvidia-docker2 และผลิตภัณฑ์ที่เกี่ยวข้อง

AWS ขอแนะนำให้ลูกค้าที่เคยใช้ Docker กับ Deep Learning AMI หรือ Deep Learning Base AMI บน Ubuntu เปิดใช้อินสแตนซ์ใหม่ของ AMI เวอร์ชันล่าสุด และปฏิบัติตามคำแนะนำเหล่านี้เพื่ออัปเกรด Docker (ตรวจดูให้แน่ใจว่าปฏิบัติตามขั้นตอนการติดตั้งครบถ้วน)

https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository

คำแนะนำเหล่านี้จะอัปเดต nvidia-docker2 โดยอัตโนมัติเช่นกัน Deep Learning Base AMI และ Deep Learning AMI เวอร์ชันอัปเดตสำหรับ Ubuntu จะพร้อมดาวน์โหลดได้หลังจากที่ออกโปรแกรมแก้ไขด้านความปลอดภัยที่เกี่ยวข้องครบทั้งหมดแล้ว กระดานข่าวนี้จะได้รับการอัปเดตเมื่อ AMI ที่อัปเดตใช้งานได้แล้ว