13 Şubat 2019 21:00 PST
CVE Tanımlayıcısı: CVE-2019-5736
AWS birçok açık kaynak container yönetim sistemini (CVE-2019-5736) etkileyen son zamanlarda açıklanmış güvenlik sorununun farkındadır. Aşağıda listelenen AWS hizmetleri dışında, bu sorunun giderilmesi için müşterinin bir işlem yapmasına gerek yoktur.
Amazon Linux
Amazon Linux 2 ekstralar depoları ve Amazon Linux AMI 2018.03 depoları (ALAS-2019-1156) için Docker’ın güncellenmiş bir sürümü (docker-18.06.1ce-7.amzn2) sunulmaktadır. AWS, Amazon Linux’ta Docker kullanan müşterilerine son AMI sürümünden yeni bulut sunucuları başlatmalarını öneriyor. Daha fazla bilgi Amazon Linux Güvenlik Merkezi’nde mevcuttur.
Amazon Elastik Konteyner Servisi (Amazon ECS )
Amazon Linux AMI, Amazon Linux 2 AMI ve GPU için optimize edilmiş AMI dahil olmak üzere Amazon ECS için Optimize Edilmiş AMI’ler sunulmaktadır. En iyi genel güvenlik uygulaması olarak ECS müşterilerine en son AMI sürümünden yeni container bulut sunucularını başlatmaları için yapılandırmalarını güncellemelerini öneriyoruz. Müşteriler yukarıda açıklanan sorunu ele almak için mevcut container bulut sunucularını yeni AMI sürümü ile değiştirmelidir. Amazon Linux AMI, Amazon Linux 2 AMI ve GPU için Optimize Edilmiş AMI için mevcut container bulut sunucularını değiştirme talimatları ECS belgelerinde bulunabilir.
ECS için Optimize Edilmiş AMI kullanmayan Linux müşterilerinin, gerektiği şekilde güncelleştirmeler ve talimatlar için işletim sistemi, yazılım veya AMI üreticilerine danışması önerilir. Amazon Linux hakkındaki talimatlar Amazon Linux Güvenlik Merkezi içerisinde yer almaktadır.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Güncellenmiş bir Amazon EKS için Optimize Edilmiş AMI, AWS Marketplace’de sunulmaktadır. En iyi genel güvenlik uygulaması olarak ECS müşterilerine en son AMI sürümünden, yeni çalışan düğümlerini başlatmaları için yapılandırmalarını güncellemelerini öneriyoruz. Müşteriler yukarıda açıklanan sorunu ele almak için mevcut çalışan düğümlerini yeni AMI sürümü ile değiştirmelidir. Çalışan düğümlerinin güncellenmesine yönelik talimatlar EKS belgelerinde bulunabilir.
EKS için Optimize Edilmiş AMI kullanmayan Linux müşterileri, bu sorunların ele alınması için gerekli güncellemeleri edinmek amacıyla kendi işletim sistemi üreticileri ile iletişime geçmelidir. Amazon Linux hakkındaki talimatlar Amazon Linux Güvenlik Merkezi içerisinde yer almaktadır.
AWS Fargate
Fargate’in güncellenmiş sürümü, CVE-2019-5736’da tanımlanan sorunları azaltan Platform Sürümü 1.3 için sunulmaktadır. Eski Platform Sürümlerinin düzeltme ekli sürümleri (1.0.0, 1.1.0, 1.2.0) 15 Mart 2019 tarihinden itibaren erişilebilir kılınacaktır.
Fargate Hizmetlerini çalıştıran müşteriler, son Platform Sürümü 1.3’deki tüm yeni Görevleri başlatmak için force-new-deployment" (yeni-dağıtımı-zorla) özellikli UpdateService’i aramalıdırlar. Tek başına görevleri çalıştıran müşteriler mevcut görevleri sonlandırmalı ve son sürümü kullanarak yeniden başlatmalıdır. Belirli talimatlar Fargate güncelleme belgelerinde bulunabilir.
Düzeltme ekli sürüme yükseltilmeyen tüm görevler 19 Nisan 2019 tarihine kadar kullanımdan kaldırılacaktır. Tek başına görevleri kullanan müşteriler, kullanımdan kalkanları değiştirmek için yeni görevleri başlatmalıdır. Ek ayrıntılar Fargate Görev Kullanımdan Kaldırma belgelerinde bulunabilir.
AWS IoT Greengrass
AWS IoT GreenGrass çekirdeğinin güncellenmiş sürümleri 1.7.1 ve 1.6.1 için sunulmaktadır. Güncellenmiş sürümler Linux çekirdek sürümü 3.17 veya daha üst sürümlerde mevcut özellikleri gerektirir. Çekirdeğinizi güncellemeye yönelik bilgiye buradan ulaşabilirsiniz.
En iyi genel güvenlik uygulaması olarak GreenGrass çekirdeğinin herhangi bir sürümünü çalıştıran müşterilere sürüm 1.7.1’e yükseltmelerini tavsiye ediyoruz. Kablosuz güncellemelere yönelik talimatlara buradan ulaşabilirsiniz.
AWS Toplu İş
Güncellenmiş bir Amazon ECS için Optimize Edilmiş AMI varsayılan İşlem Ortamı AMI olarak sunulmaktadır. En iyi genel güvenlik uygulaması olarak Batch müşterilerine hâlihazırdaki İşlem Ortamlarını mevcut son AMI ile değiştirmelerini öneriyoruz. İşlem Ortamını değiştirmeye yönelik talimatlar Batch ürün belgelerinde mevcuttur.
Varsayılan AMI kullanmayan Batch müşterileri, bu sorunların ele alınması için gerekli güncellemeleri edinmek amacıyla kendi işletim sistemi satıcılarıyla iletişime geçmelidir. Batch özel AMI’ya yönelik talimatlar Batch ürün belgelerinde sunulmaktadır.
AWS Elastic Beanstalk
Güncellenmiş AWS Elastic Beanstalk Docker tabanlı platform sürümleri sunulmaktadır. Yönetilen Platform Güncellemeleri kullanan müşteriler, bir işleme gerek duymadan seçili bakım dönemlerinde en son platform sürümüne otomatik olarak güncellenecektir. Ayrıca müşteriler Yönetilen Güncellemeler yapılandırma sayfasına gidip “Apply Now” (Şimdi Uygula) düğmesine tıklayarak hemen güncelleyebilir. Yönetilen Platform Güncellemelerini etkinleştirmemiş olan müşteriler, buradaki talimatları izleyerek ortamlarının platformunun sürümünü güncelleyebilir.
AWS Cloud9
Amazon Linux ile AWS Cloud9 ortamının güncellenmiş bir sürümü sunulmaktadır. Varsayılan olarak müşteriler ilk önyükleme uygulanan güvenlik düzeltme eklerine sahip olacaktır. Hâlihazırda EC2 tabanlı AWS Cloud9 ortamı olan müşteriler son AWS Cloud9 sürümünden yeni bulut sunucularını başlatmalıdır. Daha fazla bilgi Amazon Linux Güvenlik Merkezi’nde mevcuttur.
Amazon Linux ile oluşturulmamış SSH ortamlarını kullanan müşteriler, bu sorunların ele alınması için gerekli güncellemeleri edinmek amacıyla kendi işletim sistemi satıcılarıyla iletişime geçmelidir.
AWS SageMaker
Amazon SageMaker’ın güncellenmiş bir sürümü mevcuttur. Eğitim, iyileştirme, toplu dönüşüm veya uç noktalar için Amazon SageMaker’ın varsayılan algoritma container’larını veya framework container’larını kullanan müşteriler etkilenmez. Etiketleme veya derleme çalıştıran müşteriler de etkilenmez. Docker container’larını çalıştırmak için Amazon SageMaker dizüstü bilgisayarları kullanmayan müşteriler etkilenmez. 11 Şubat tarihinde veya daha sonra başlatılan tüm uç noktalar, etiketleme, eğitim, iyileştirme, derleme ve toplu dönüşüm işlemleri en son güncellemeyi içerir ve müşterinin bir işlem yapmasına gerek yoktur. 11 Şubat veya daha sonrasında CPU bulut sunucuları ile başlatılan tüm Amazon SageMaker dizüstü bilgisayarlar ve 13 Şubat 18.00 PT veya daha sonrasında GPU bulut sunucuları ile başlatılan tüm Amazon SageMaker dizüstü bilgisayarları en yeni güncellemeleri içerirler ve müşterinin bir işlem yapmasına gerek yoktur.
AWS, 11 Şubat’tan önce oluşturulan özel kodlu eğitim, iyileştirme ve toplu dönüşüm işleri çalıştıran müşterilere durmalarını ve işlerine son güncellemeyi de dahil etmelerini öneriyor. Bu işlemler Amazon SageMaker konsolundan veya buradaki talimatları takip ederek yapılabilir.
Amazon SageMaker hizmette olan tüm uç noktaları dört haftada bir otomatik olarak son sürümüne günceller. 11 Şubat’tan önce oluşturulan tüm uç noktaların 11 Mart’a kadar güncellenmesi beklenir. Otomatik güncellemeler ile ilgili herhangi bir sorun olması ve müşterilerin uç noktaları güncellemeleri için eyleme geçmesinin gerektiği durumlarda Amazon SageMaker müşterilerin Kişisel Sağlık Durumu Panosu’nda bir bildirim yayınlayacaktır. Uç noktalarını daha erken güncellemek isteyen müşteriler diledikleri zaman Amazon SageMaker konsolundan veya UpdateEndpoint API eylemi ile uç noktalarını manuel olarak güncelleyebilirler. Otomatik ölçeklendirmesi etkin uç noktaları olan müşterilere buradaki talimatları takip ederek ek önlem almalarını öneriyoruz.
AWS, CPU bulut sunucuları ile çalışan Amazon SageMaker dizüstü bilgisayarlarındaki Docker container’larını çalıştıran müşterilere Amazon SageMaker dizüstü bilgisayar bulut sunucularını durdurmalarını ve mevcut en son sürüme getirmelerini öneriyor. Bu, Amazon SageMaker konsolundan yapılabilir. Ayrıca, müşteriler önce StopNotebookInstance API’sini kullanarak dizüstü bilgisayar bulut sunucusunu durdurabilir ve sonra StartNotebookInstance API’sini kullanarak dizüstü bilgisayar bulut sunucusunu başlatabilir.
AWS RoboMaker
AWS RoboMaker gelişim ortamının güncellenmiş bir sürümü sunulmaktadır. Yeni gelişim ortamları son sürümü kullanacaktır. Genel bir en iyi güvenlik uygulaması olarak AWS, RoboMaker gelişim ortamlarını kullanan müşterilerine Cloud9 ortamlarını son sürüme güncellemelerini öneriyor.
AWS IoT GreenGrass çekirdeğinin güncellenmiş bir sürümü sunulmaktadır. RoboMaker Filo Yönetimi kullanan tüm müşteriler GreenGrass çekirdeğini sürüm 1.7.1’e yükseltmelidir. Kablosuz güncellemelere yönelik talimatlara buradan ulaşabilirsiniz.
AWS Deep Learning AMI
Amazon Linux ve Ubuntu için Deep Learning Base AMI ve Deep Learning AMI’nın güncellemiş sürümleri AWS Marketplace’de sunulmaktadır. AWS, Deep Learning AMI veya Deep Learning Base AMI ile Docker kullanan müşterilerine son AMI sürümünün (Amazon Linux ve Ubuntu’da v21.2 veya daha yeni for Deep Learning AMI, Amazon Linux’da v16.2 veya daha yeni for Deep Learning Base AMI ve Ubuntu’da v15.2 veya daha yeni Deep Learning Base AMI) yeni bulut sunucularını başlatmalarını öneriyor. Daha fazla bilgi Amazon Linux Güvenlik Merkezi’nde mevcuttur.