ตัวระบุ CVE: CVE-2020-8558
นี่คือการอัปเดตสำหรับปัญหานี้
AWS รับทราบถึงปัญหาด้านความปลอดภัยที่ส่งผลกระทบต่อระบบเครือข่ายคอนเทนเนอร์ Linux (CVE-2020-8558) ตามที่ได้มีการเปิดเผยโดยชุมชน Kubernetes เมื่อไม่นานมานี้ ปัญหานี้อาจทำให้คอนเทนเนอร์รันบนโฮสต์เดียวกันหรือโฮสต์ที่อยู่ติดกัน (โฮสต์ที่รันใน LAN เดียวกันหรือโดเมนชั้นที่ 2) เพื่อเข้าถึงบริการ TCP และ UDP ที่เชื่อมโยงกับ localhost (127.0.0.1)
การควบคุมการรักษาความปลอดภัยของ AWS ทั้งหมดเพื่อรักษาการแยกส่วนระหว่างลูกค้าใน Amazon ECS กับ Amazon EKS ยังคงทำงานได้อย่างถูกต้อง ปัญหานี้ไม่แสดงให้เห็นถึงความเสี่ยงของการเข้าถึงข้อมูลข้ามบัญชี กระบวนการภายในคอนเทนเนอร์บนโฮสต์ๆ หนึ่งอาจทำให้ได้รับสิทธิ์การเข้าถึงเครือข่ายโดยไม่ตั้งใจในคอนเทนเนอร์อื่นๆ บนโฮสต์เดียวกันหรือบนโฮสต์อื่นๆ ภายใน VPC และซับเน็ตเดียวกัน ลูกค้าจำเป็นจะต้องดำเนินการ โดยสามารถดูขั้นตอนการบรรเทาปัญหาโดยด่วนได้ที่ https://github.com/aws/containers-roadmap/issues/976 ลูกค้า Amazon ECS และ Amazon EKS ทั้งหมดควรอัปเดต AMI ให้เป็นรุ่นล่าสุด
AWS Fargate
AWS Fargate ไม่ได้รับผลกระทบ ลูกค้าไม่จำเป็นต้องดำเนินการใดๆ
Amazon Elastic Container Service (Amazon ECS)
AMI ที่ปรับให้เหมาะสมกับ Amazon ECS ที่อัปเดตใช้งานได้แล้ว ตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทั่วไป เราขอแนะนำให้ลูกค้า ECS อัปเดตการกำหนดค่าของตนเพื่อเปิดใช้อินสแตนซ์คอนเทนเนอร์ใหม่จาก AMI เวอร์ชันล่าสุด
ลูกค้าสามารถอัปเกรด AMI ของตนโดยดูได้จากเอกสารประกอบของ ECS
Amazon Elastic Kubernetes Service (Amazon EKS)
AMI ที่ปรับให้เหมาะสมกับ Amazon EKS ที่อัปเดตใช้งานได้แล้ว ตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทั่วไป เราขอแนะนำให้ลูกค้า EKS อัปเดตการกำหนดค่าของตนเพื่อเปิดใช้โหนดผู้ปฏิบัติงานใหม่จาก AMI เวอร์ชันล่าสุด
ลูกค้าที่ใช้กลุ่มโหนดที่มีการจัดการสามารถอัปเกรดกลุ่มโหนดโดยดูได้จากเอกสารประกอบของ EKS ลูกค้าที่จัดการโหนดผู้ปฏิบัติงานด้วยตนเองควรแทนที่อินสแตนซ์ที่มีอยู่เดิมด้วย AMI เวอร์ชันใหม่โดยดูได้จากเอกสารประกอบของ EKS
ตัวระบุ CVE: CVE-2020-8558
คุณกำลังดูกระดานข่าวด้านความปลอดภัยในเวอร์ชันก่อนหน้านี้
AWS รับทราบถึงปัญหาด้านความปลอดภัยที่ส่งผลกระทบต่อระบบเครือข่ายคอนเทนเนอร์ Linux (CVE-2020-8558) ตามที่ได้มีการเปิดเผยโดยชุมชน Kubernetes เมื่อไม่นานมานี้ ปัญหานี้อาจทำให้คอนเทนเนอร์รันบนโฮสต์เดียวกันหรือที่อยู่ติดกัน (โฮสต์ที่รันใน LAN เดียวกันหรือโดเมนชั้นที่ 2) เพื่อเข้าถึงบริการ TCP และ UDP ที่เชื่อมโยงกับ localhost (127.0.0.1)
AWS Fargate ไม่ได้รับผลกระทบ ลูกค้าไม่จำเป็นต้องดำเนินการใดๆ
การควบคุมการรักษาความปลอดภัยของ AWS ทั้งหมดเพื่อรักษาการแยกส่วนระหว่างลูกค้าใน Amazon ECS กับ Amazon EKS ยังคงทำงานได้อย่างถูกต้อง ปัญหานี้ไม่แสดงให้เห็นถึงความเสี่ยงของการเข้าถึงข้อมูลข้ามบัญชี กระบวนการภายในคอนเทนเนอร์บนโฮสต์ๆ หนึ่งอาจทำให้ได้รับสิทธิ์การเข้าถึงเครือข่ายโดยไม่ตั้งใจในคอนเทนเนอร์อื่นๆ บนโฮสต์เดียวกันหรือบนโฮสต์อื่นๆ ภายใน VPC และซับเน็ตเดียวกัน ลูกค้าจำเป็นจะต้องดำเนินการ โดยสามารถดูขั้นตอนการบรรเทาปัญหาโดยด่วนได้ที่: https://github.com/aws/containers-roadmap/issues/976
เราจะเผยแพร่ Amazon Machine Image ที่ได้รับการอัปเดตสำหรับทั้ง Amazon ECS และ Amazon EKS และลูกค้าควรอัปเดต AMI เหล่านี้ทันทีที่พร้อมใช้งาน
AWS Fargate
AWS Fargate ไม่ได้รับผลกระทบ ลูกค้าไม่จำเป็นต้องดำเนินการใดๆ
Amazon Elastic Container Service (Amazon ECS)
Amazon ECS จะเผยแพร่ AMI ที่ปรับให้เหมาะสมกับ ECS รวมถึง Amazon Linux AMI, Amazon Linux 2 AMI, AMI ที่ปรับให้เหมาะสมกับ GPU, AMI ที่ปรับให้เหมาะสมกับ ARM และ AMI ที่ปรับให้เหมาะสมกับ Inferentia ในวันที่ 9 กรกฎาคม 2020 การอัปเดตไปใช้ AMI อย่างใดอย่างหนึ่งเหล่านี้จะช่วยบรรเทาปัญหาได้ เราจะอัปเดตกระดานข่าวนี้เมื่อ AMI ที่อัปเดตใหม่พร้อมให้ใช้งานแล้ว
Amazon Elastic Kubernetes Service (Amazon EKS)
Amazon EKS จะเผยแพร่ AMI ที่ปรับให้เหมาะสมกับ EKS รวมถึง AMI ที่ปรับให้เหมาะสมกับ Amazon Linux 2 EKS และ AMI ที่เร่งการปรับให้เหมาะสมกับ EKS สำหรับ Kubernetes 1.14, 1.15 และ 1.16 ในวันที่ 9 กรกฎาคม 2020 การอัปเดตไปใช้ AMI อย่างใดอย่างหนึ่งเหล่านี้จะช่วยบรรเทาปัญหาได้ เราจะอัปเดตกระดานข่าวนี้เมื่อ AMI ที่อัปเดตใหม่พร้อมให้ใช้งานแล้ว