Bu güvenlik bülteninin eski bir sürümünü görüntülüyorsunuz. Mevcut son sürüm için lütfen şurayı ziyaret edin: "Container Güvenlik Sorunu (CVE-2019-5736)".
11 Şubat 2019 07:00 PST
CVE Tanımlayıcısı: CVE-2019-5736
AWS birçok açık kaynak container yönetim sistemini (CVE-2019-5736) etkileyen son zamanlarda açıklanmış güvenlik sorununun farkındadır. Aşağıda listelenen AWS hizmetleri dışında, bu sorunların ele alınması için müşteri tarafından başka bir işlemin gerçekleştirilmesine gerek yoktur.
Amazon Linux
Amazon Linux 2 (ALAS-2019-1156) ve Amazon Linux AMI 2018.03 depoları (ALAS-2019-1156) için Docker’ın güncellenmiş bir sürümü erişilebilirdir. AWS, Amazon Linux’ta Docker kullanan müşterilerine son AMI sürümünden yeni bulut sunucuları başlatmalarını öneriyor. Daha fazla bilgi Amazon Linux Güvenlik Merkezi’nde mevcuttur.
Amazon Elastic Container Service (Amazon ECS)
Amazon Linux AMI, Amazon Linux 2 AMI ve GPU için optimize edilmiş AMI dahil olmak üzere güncellenmiş Amazon ECS için Optimize Edilmiş AMI’ler 11 Şubat 2019 tarihinde erişilebilir olacak. Güncellenmiş AMI’ler erişileblir bu bülteni güncelleyeceğiz. En iyi genel güvenlik uygulaması olarak ECS müşterilerine en son AMI sürümünden yeni container bulut sunucularını başlatmaları için yapılandırmalarını güncellemelerini öneriyoruz. Müşteriler yukarıda açıklanan sorunu ele almak için mevcut container bulut sunucularını yeni AMI sürümü ile değiştirmelidir. Amazon Linux AMI, Amazon Linux 2 AMI ve GPU için Optimize Edilmiş AMI için bu işlemin nasıl yapılacağına dair talimatlar ECS belgelerinde bulunabilir.
ECS İçin Optimize Edilmiş AMI kullanmayan Linux müşterilerinin gerektiği şekilde güncellemeler ve yönergeler için diğer alternatif / üçüncü taraf işletim sistemi, yazılım veya AMI satıcılarına danışması önerilir. Amazon Linux hakkındaki talimatlar Amazon Linux Güvenlik Merkezi içerisinde yer almaktadır.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Güncellenmiş bir Amazon EKS Optimize Edilmiş AMI’si 11 Şubat 2019 arihinde erişilebilir olacak. Güncellenmiş AMI’ler erişileblir bu bülteni güncelleyeceğiz. En iyi genel güvenlik uygulaması olarak ECS müşterilerine en son AMI sürümünden, yeni çalışan düğümlerini başlatmaları için yapılandırmalarını güncellemelerini öneriyoruz. Müşteriler yukarıda açıklanan sorunu ele almak için mevcut çalışan düğümlerini yeni AMI sürümü ile değiştirmelidir. Çalışan düğümlerinin güncellenmesine yönelik talimatlar EKS belgelerinde bulunabilir.
EKS için Optimize Edilmiş AMI kullanmayan Linux müşterileri, bu sorunların ele alınması için gerekli güncellemeleri edinmek amacıyla kendi işletim sistemi üreticileri ile iletişime geçmelidir. Amazon Linux hakkındaki talimatlar Amazon Linux Güvenlik Merkezi içerisinde yer almaktadır.
AWS Fargate
Fargate’in güncellenmiş sürümü, CVE-2019-5736’da tanımlanan sorunları azaltan Platform Sürümü 1.3 için erişilebilirdir. Eski Platform Sürümlerinin düzeltme ekli sürümleri (1.0.0, 1.1.0, 1.2.0) 15 Mart 2019 tarihinden itibaren erişilebilir kılınacaktır.
Fargate Hizmetlerini çalıştıran müşteriler, son Platform Sürümü 1.3’deki tüm yeni Görevleri başlatmak için force-new-deployment" (yeni-dağıtımı-zorla) özellikli UpdateService’i aramalıdırlar. Tek başına görevleri çalıştıran müşteriler mevcut görevleri sonlandırmalı ve son sürümü kullanarak yeniden başlatmalıdır. Belirli talimatlar Fargate güncelleme belgelerinde bulunabilir.
Düzeltme ekli sürüme yükseltilmeyen tüm görevler 19 Nisan 2019 tarihine kadar kullanımdan kaldırılacaktır. Tek başına görevleri kullanan müşteriler, kullanımdan kalkanları değiştirmek için yeni görevleri başlatmalıdır. Ek ayrıntılar Fargate Görev Kullanımdan Kaldırma belgelerinde bulunabilir.
AWS IoT Greengrass
AWS IoT GreenGrass çekirdeğinin güncellenmiş bir sürümü 11 Şubat 2019 tarihinde erişilebilir olacaktır. Düzeltme eki uygulanmış sürümler kullanıma hazır olduğunda bu bülten güncellenecektir. Güncellenmiş sürümler Linux çekirdek sürümü 3.17 veya daha üst sürümlerde mevcut özellikleri gerektirir. Çekirdeğinizi güncellemeye yönelik bilgiye buradan ulaşabilirsiniz.
En iyi genel güvenlik uygulaması olarak Greengrass çekirdeğinin herhangi bir sürümünü çalıştıran müşterilere sürüm 1.7.1’e yükseltmelerini tavsiye ediyoruz. Kablosuz güncellemelere yönelik talimatlara buradan ulaşabilirsiniz.
AWS Batch
Güncellenmiş bir Amazon ECS için Optimize Edilmiş AMI varsayılan Bilgi İşlem Ortamı AMI’si olarak 11 Şubat 2019 tarihinde erişilebilir olacak. AMI kullanıma hazır olduğunda bu bülten güncellenecektir. En iyi genel güvenlik uygulaması olarak Batch müşterilerine hâlihazırdaki İşlem Ortamlarını mevcut son AMI ile değiştirmelerini öneriyoruz. Bir Batch müşterisinin hemen güncellenmesi gerekiyorsa, bir Bilgi İşlem Ortamı oluştururken varsayılan AMI'yi en son ECS Optimize Edilmiş AMI ile geçersiz kılmaları önerilir. İşlem Ortamını değiştirmeye yönelik talimatlar Batch ürün belgelerinde mevcuttur.
Varsayılan AMI kullanmayan Batch müşterileri, bu sorunların ele alınması için gerekli güncellemeleri edinmek amacıyla kendi işletim sistemi satıcılarıyla iletişime geçmelidir. Batch özel AMI’ya yönelik talimatlar Batch ürün belgelerinde erişilebilirdir.
AWS Elastic Beanstalk
Güncellenmiş AWS Elastic Beanstalk Docker tabanlı platformları 11 Şubat 2019 tarihinde erişilebilir olacaktır. Yeni platform sürümleri kullanıma hazır olduğunda bu bülten güncellenecektir. Yönetilen Platform Güncellemeleri kullanan müşteriler, bir işleme gerek duymadan seçili bakım dönemlerinde en son platform sürümüne otomatik olarak güncellenecektir. Ayrıca müşteriler Yönetilen Güncellemeler yapılandırma sayfasına gidip “Apply Now” (Şimdi Uygula) düğmesine tıklayarak hemen güncelleyebilir. Yönetilen Platform Güncellemelerini etkinleştirmemiş olan müşteriler, buradaki talimatları izleyerek ortamlarının platformunun sürümünü güncelleyebilir.
AWS Cloud9
Amazon Linux ile AWS Cloud9 ortamının güncellenmiş bir sürümü erişilebilirdir. Varsayılan olarak müşteriler ilk önyükleme uygulanan güvenlik düzeltme eklerine sahip olacaktır. Hâlihazırda EC2 tabanlı AWS Cloud9 ortamı olan müşteriler son AWS Cloud9 sürümünden yeni bulut sunucularını başlatmalıdır. Daha fazla bilgi Amazon Linux Güvenlik Merkezi’nde mevcuttur.
Amazon Linux ile oluşturulmamış SSH ortamlarını kullanan müşteriler, bu sorunların ele alınması için gerekli güncellemeleri edinmek amacıyla kendi işletim sistemi satıcılarıyla iletişime geçmelidir.
AWS SageMaker
Amazon SageMaker’ın güncellenmiş bir sürümü mevcuttur. Eğitim, iyileştirme, toplu dönüşüm veya uç noktalar için Amazon SageMaker’ın varsayılan algoritma container’larını veya framework container’larını kullanan müşteriler etkilenmez. Etiketleme veya derleme çalıştıran müşteriler de etkilenmez. Docker container’larını çalıştırmak için Amazon SageMaker dizüstü bilgisayarları kullanmayan müşteriler etkilenmez. Ayrıca, CPU bulut sunucuları ile 11 Şubat tarihinde veya daha sonra başlatılan tüm Amazon SageMaker dizüstü bilgisayarları son güncellemeleri içerir ve başka bir müşteri işlemi gerekmez. 11 Şubat tarihinde veya daha sonra başlatılan tüm uç noktalar, etiketleme, eğitim, iyileştirme, derleme ve toplu dönüşüm işlemleri en son güncellemeyi içerir ve başka bir müşteri işlemi gerekmez.
AWS, 11 Şubat’tan önce oluşturulan özel kodlu eğitim, iyileştirme ve toplu dönüşüm işleri çalıştıran müşterilere durmalarını ve işlerine son güncellemeyi de dahil etmelerini öneriyor. Bu işlemler Amazon SageMaker konsolundan veya buradaki talimatları takip ederek yapılabilir.
Amazon SageMaker hizmette olan tüm uç noktaları dört haftada bir otomatik olarak son sürümüne günceller. 11 Şubat’tan önce oluşturulan tüm uç noktaların 11 Mart’a kadar güncellenmesi beklenir. Otomatik güncellemeler ile ilgili herhangi bir sorun olması ve müşterilerin uç noktaları güncellemeleri için eyleme geçmesinin gerektiği durumlarda Amazon SageMaker müşterilerin Kişisel Sağlık Durumu Panosu’nda bir bildirim yayınlayacaktır. Uç noktalarını daha erken güncellemek isteyen müşteriler diledikleri zaman Amazon SageMaker konsolundan veya UpdateEndpoint API eylemi ile uç noktalarını manuel olarak güncelleyebilirler. Otomatik ölçeklendirmesi etkin uç noktaları olan müşterilere buradaki talimatları takip ederek ek önlem almalarını öneriyoruz.
AWS, CPU bulut sunucuları ile çalışan Amazon SageMaker dizüstü bilgisayarlarındaki Docker container’larını çalıştıran müşterilere durmalarını ve Amazon SageMaker dizüstü bilgisayar bulut sunucularını mevcut en son sürüme getirmelerini öneriyor. Bu Amazon SageMaker konsolundan yapılabilir. Ayrıca, müşteriler önce StopNotebookInstance API’sini kullanarak dizüstü bilgisayar bulut sunucusunu durdurabilir ve sonra StartNotebookInstance API’sini kullanarak dizüstü bilgisayar bulut sunucusunu başlatabilir.
GPU bulut sunuculu Amazon SageMaker dizüstü bilgisayarların güncellenmiş sürümü Nvidia düzeltme eklerinin yayınlanmasından kısa bir süre sonra müşteriler için erişilebilir kılınacaktır. Güncellenmiş bir sürüm mevcut olduğunda bu bülten güncellenecektir. GPU bulut sunuculu dizüstü bilgisayarlardaki Docker container’larını çalıştıran müşteriler dizüstü bilgisayar bulut sunucularını konsol aracılığıyla geçici olarak durdurarak veya StopNotebookInstance API‘sini kullanarak önleyici tedbirler alabilir ve sonra güncellenmiş sürüm erişilebilir olduğundaStartNotebookInstance’ı kullanarak dizüstü bilgisayar bulut sunucusunu başlatabilir.
AWS RoboMaker
AWS RoboMaker gelişim ortamının güncel bir sürümü Canonical ve Docker düzeltme eklerinin yayınlanmasından kısa bir süre sonra erişilebilir olacaktır. Güncelleme kullanıma hazır olduğunda bu bülten güncellenecektir. Genel bir en iyi güvenlik uygulaması olarak AWS, RoboMaker gelişim ortamlarını kullanan müşterilerine Cloud9 ortamlarını son sürüme güncellemelerini öneriyor.
AWS IoT GreenGrass çekirdeğinin güncellenmiş bir sürümü 11 Şubat 2019 tarihinde erişilebilir olacaktır. Güncelleme kullanıma hazır olduğunda bu bülten güncellenecektir. RoboMaker Filo Yönetimini kullanan tüm müşteriler güncellenmiş Greengrass çekirdeği erişilebilir olduğunda bunu son sürümüne yükseltmelidir. Müşteriler güncellemeyi almak için bu talimatları takip etmelidir.
AWS Derin Öğrenim AMI'leri
AWS, Amazon Linux üzerinde Deep Learning AMI veya Deep Learning Base AMI kullanan müşterilerine son AMI sürümünün yeni bulut sunucularını başlatmalarını ve Docker’ı yükseltmek için aşağıdaki komutu çalıştırmalarını öneriyor.
sudo yum upgrade docker
Deep Learning Base AMI ve Deep Learning AMI güncellenmiş sürümü tüm ilgili güvenlik düzeltme ekleri yayınlandıktan sonra indirilebilecektir. Yeni AMI'ler kullanıma hazır olduğunda bu bülten güncellenecektir.
Daha fazla bilgi Amazon Linux Güvenlik Merkezi’nde mevcuttur.
CVE-2019-5736’da belirtilen sorunları gidermek üzere Docker tarafından Ubuntu için güncelleme yayınlandıktan sonra, AWS, Docker’ı Ubuntu üzerinde Deep Learning AMI veya Deep Learning Base AMI’leri ile kullanan müşterilerine son AMI sürümünün yeni bulut sunucularını başlatmalarını ve bu Docker’ı yükseltmek için bu talimatları takip etmelerini öneriyor (tüm kurulum adımlarının takip edildiğinden emin olun).
https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository
AWS müşterilerine nvidia-docker2 ve ilgili ürünlere güncellemeler için Nvidia’dan Güvenlik Bültenini izlemelerini de öneriyor.