Bu güvenlik bülteninin eski bir sürümünü görüntülüyorsunuz. Mevcut son sürüm için lütfen şurayı ziyaret edin: "Container Güvenlik Sorunu (CVE-2019-5736)".
11 Şubat 2019 11:00 PM PST
CVE Tanımlayıcısı: CVE-2019-5736
AWS birçok açık kaynak container yönetim sistemini (CVE-2019-5736) etkileyen son zamanlarda açıklanmış güvenlik sorununun farkındadır. Aşağıda listelenen AWS hizmetleri dışında, bu sorunu gidermek için müşterinin başka bir işlem yapmasına gerek yoktur.
Amazon Linux
Amazon Linux 2 ekstralar depoları ve Amazon Linux AMI 2018.03 depoları (ALAS-2019-1156) için Docker’ın güncellenmiş bir sürümü (docker-18.06.1ce-7.amzn2) sunulmuştur. AWS, Amazon Linux’ta Docker kullanan müşterilerine son AMI sürümünden yeni bulut sunucuları başlatmalarını öneriyor. Daha fazla bilgi Amazon Linux Güvenlik Merkezi’nde sunulmuştur.
Amazon Elastic Container Service (Amazon ECS)
Amazon Linux AMI, Amazon Linux 2 AMI ve GPU için Optimize edilmiş AMI dahil olmak üzere Amazon ECS için Optimize Edilmiş AMI’ler sunulmuştur. En iyi genel güvenlik uygulaması olarak ECS müşterilerine en son AMI sürümünden yeni container bulut sunucularını başlatmaları için yapılandırmalarını güncellemelerini öneriyoruz. Müşteriler yukarıda açıklanan sorunu ele almak için mevcut container bulut sunucularını yeni AMI sürümü ile değiştirmelidir. Amazon Linux AMI, Amazon Linux 2 AMI, ve GPU için Optimize Edilmiş AMI için mevcut bulut sunucularını değiştirme talimatları ECS belgelerinde bulunabilir.
ECS için Optimize Edilmiş AMI kullanmayan Linux müşterilerinin gerektiği şekilde güncelleştirmeler ve talimatlar için işletim sistemi, yazılım veya AMI satıcılarına danışması önerilir. Amazon Linux hakkındaki talimatlar Amazon Linux Güvenlik Merkezi içerisinde yer alır.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Güncellenmiş bir Amazon EKS için Optimize Edilmiş AMI AWS Marketplace’de sunulmuştur. En iyi genel güvenlik uygulaması olarak ECS müşterilerine en son AMI sürümünden yeni çalışan düğümlerini başlatmaları için yapılandırmalarını güncellemelerini öneriyoruz. Müşteriler yukarıda açıklanan sorunu ele almak için mevcut çalışan düğümlerini yeni AMI sürümü ile değiştirmelidir. Çalışan düğümlerinin güncellenmesine yönelik talimatlar EKS belgelerinde bulunabilir.
EKS için Optimize Edilmiş AMI kullanmayan Linux müşterileri, bu sorunların ele alınması için gerekli güncellemeleri edinmek amacıyla kendi işletim sistemi satıcılarıyla iletişime geçmelidir. Amazon Linux hakkındaki talimatlar Amazon Linux Güvenlik Merkezi içerisinde yer alır.
AWS Fargate
Fargate’in güncellenmiş sürümü, CVE-2019-5736’de tanımlanan sorunları azaltan Platform Sürümü 1.3 için sunulmuştur. Eski Platform Sürümlerinin düzeltme ekli sürümleri (1.0.0, 1.1.0, 1.2.0) 15 Mart 2019 tarihinden itibaren sunulacaktır.
Fargate Hizmetlerini çalıştıran müşteriler son Platform Sürümü 1.3’teki tüm yeni Görevleri başlatmak için --force-new-deployment" özellikli UpdateService’i aramalıdır. Tek başına görevleri çalıştıran müşteriler mevcut görevleri sonlandırmalı ve son sürümü kullanarak yeniden başlatmalıdır. Belirli talimatlar Fargate güncelleme belgelerinde bulunabilir.
Düzeltme ekli sürüme yükseltilmeyen tüm görevler 19 Nisan 2019 tarihine kadar kullanımdan kaldırılacaktır. Tek başına görevleri kullanan müşteriler kullanımdan kalkanları değiştirmek için yeni görevleri başlatmalıdır. Ek ayrıntılar Fargate Görev Kullanımdan Kaldırma belgelerinde bulunabilir.
AWS IoT Greengrass
AWS IoT GreenGrass çekirdeğinin güncellenmiş sürümleri 1.7.1 ve 1.6.1 için sunulmuştur. Güncellenmiş sürümler Linux çekirdek sürümü 3.17veya daha yükseğinde mevcut özellikler gerektirir. Çekirdeğinizi güncellemeye yönelik talimatlara buradan ulaşabilirsiniz.
En iyi genel güvenlik uygulaması olarak GreenGrass çekirdeğinin herhangi bir sürümünü çalıştıran müşterilere sürüm 1.7.1’e yükseltmelerini tavsiye ediyoruz. Kablosuz güncellemelere yönelik talimatlara buradan ulaşabilirsiniz.
AWS Batch
Güncellenmiş bir Amazon ECS için Optimize Edilmiş AMI varsayılan İşlem Ortamı AMI olarak sunulmuştur. En iyi genel güvenlik uygulaması olarak Batch müşterilerine hâlihazırdaki İşlem Ortamlarını mevcut son AMI ile değiştirmelerini öneriyoruz. İşlem Ortamını değiştirmeye yönelik talimatlar Batch ürün belgelerinde sunulmuştur.
Varsayılan AMI kullanmayan Batch müşterileri, bu sorunların ele alınması için gerekli güncellemeleri edinmek amacıyla kendi işletim sistemi satıcılarıyla iletişime geçmelidir. Batch özel AMI’ya yönelik talimatlar Batch ürün belgelerinde sunulmuştur.
AWS Elastic Beanstalk
Güncellenmiş AWS Elastic Beanstalk Docker tabanlı platform sürümleri sunulmuştur. Yönetilen Platform Güncellemeleri kullanan müşteriler, bir işleme gerek duymadan seçili bakım pencerelerinde en son platform sürümüne otomatik olarak güncellenecektir. Ayrıca müşteriler Yönetilen Güncellemeler yapılandırma sayfasına gidip “Şimdi Uygula” düğmesine tıklayarak hemen güncelleyebilir. Yönetilen Platform Güncellemelerini etkinleştirmemiş olan müşteriler, buradaki talimatları izleyerek ortamlarının platformunun sürümünü güncelleyebilir.
AWS Cloud9
Amazon Linux ile AWS Cloud9 ortamının güncellenmiş bir sürümü sunulmuştur. Varsayılan olarak müşteriler ilk önyükleme uygulanan güvenlik düzeltme eklerine sahip olacaktır. Hâlihazırda EC2 tabanlı AWS Cloud9 ortamı olan müşteriler son AWS Cloud9 sürümünden yeni bulut sunucularını başlatmalıdır. Daha fazla bilgi Amazon Linux Güvenlik Merkezi’nde sunulmuştur.
Amazon Linux ile oluşturulmamış SSH ortamlarını kullanan AWS Cloud9 müşterileri, bu sorunların ele alınması için gerekli güncellemeleri edinmek amacıyla kendi işletim sistemi satıcılarıyla iletişime geçmelidir.
AWS SageMaker
Amazon SageMaker’ın güncellenmiş bir sürümü sunulmuştur. Eğitim, iyileştirme, toplu dönüşüm veya uç noktalar için Amazon SageMaker’ın varsayılan algoritma container’larını veya framework container’larını kullanan müşteriler etkilenmez. Etiketleme veya derleme çalıştıran müşteriler de etkilenmez. Docker container’larını çalıştırmak için Amazon SageMaker dizüstü bilgisayarları kullanmayan müşteriler etkilenmez. Ayrıca, CPU bulut sunucuları ile 11 Şubat tarihinde veya daha sonra başlatılan tüm Amazon SageMaker dizüstü bilgisayarları son güncellemeleri içerir ve başka bir müşteri işlemi gerekmez. 11 Şubat tarihinde veya daha sonra başlatılan tüm uç noktalar, etiketleme, eğitim, iyileştirme, derleme ve toplu dönüşüm işlemleri en son güncellemeyi içerir ve başka bir müşteri işlemi gerekmez.
AWS, 11 Şubat’tan önce oluşturulan özel kodlu eğitim, iyileştirme ve toplu dönüşüm işleri çalıştıran müşterilere durmalarını ve işlerine son güncellemeyi de dahil etmelerini öneriyor. Bu işlemler Amazon SageMaker konsolundan veya buradaki talimatları takip ederek yapılabilir.
Amazon SageMaker hizmette olan tüm uç noktaları dört haftada bir otomatik olarak son sürümüne günceller. 11 Şubat’tan önce oluşturulan tüm uç noktaların 11 Mart’a kadar güncellenmesi beklenir. Otomatik güncellemeler ile ilgili herhangi bir sorun olması ve müşterilerin uç noktaları güncellemeleri için eyleme geçmesinin gerektiği durumlarda Amazon SageMaker müşterilerin Kişisel Sağlık Durumu Panosu’nda bir bildirim yayınlayacaktır. Uç noktalarını daha erken güncellemek isteyen müşteriler diledikleri zaman Amazon SageMaker konsolundan veya UpdateEndpoint API eylemi ile uç noktalarını manuel olarak güncelleyebilir. Otomatik ölçeklendirmesi etkin uç noktaları olan müşterilere buradaki talimatları takip ederek ek önlem almalarını öneriyoruz.
AWS, CPU bulut sunucuları ile çalışan Amazon SageMaker dizüstü bilgisayarlarındaki Docker container’larını çalıştıran müşterilere durmalarını ve Amazon SageMaker dizüstü bilgisayar bulut sunucularını mevcut en son sürüme getirmelerini öneriyor. Bu, Amazon SageMaker konsolundan yapılabilir. Ayrıca, müşteriler önce StopNotebookInstance API’sini kullanarak dizüstü bilgisayar bulut sunucusunu durdurabilir ve sonra StartNotebookInstance API’sini kullanarak dizüstü bilgisayar bulut sunucusunu başlatabilir.
GPU bulut sunuculu Amazon SageMaker dizüstü bilgisayarların güncellenmiş sürümü Nvidia düzeltme eklerinin yayınlanmasından kısa bir süre sonra müşteriler için sunulacaktır. Güncellenmiş bir sürüm mevcut olduğunda bu bülten güncellenecektir. GPU bulut sunuculu dizüstü bilgisayarlardaki Docker container’larını çalıştıran müşteriler dizüstü bilgisayar bulut sunucularını konsol aracılığıyla geçici olarak durdurarak veya StopNotebookInstance API ‘sını kullanarak önleyici tedbirler alabilir ve sonra güncellenmiş sürüm erişilebilir olduğunda StartNotebookInstance’ı kullanarak dizüstü bilgisayar bulut sunucusunu başlatabilir.
AWS RoboMaker
AWS RoboMaker gelişim ortamının güncellenmiş bir sürümü sunulmuştur. Yeni gelişim ortamları son sürümü kullanacaktır. Genel bir en iyi güvenlik uygulaması olarak AWS, RoboMaker gelişim ortamlarını kullanan müşterilerine Cloud9 ortamlarını son sürüme güncellemelerini öneriyor.
AWS IoT GreenGrass çekirdeğinin güncellenmiş bir sürümü sunulmuştur. RoboMaker Filo Yönetimi kullanan tüm müşteriler GreenGrass çekirdeğini sürüm 1.7.1’e yükseltmelidir. Kablosuz güncellemelere yönelik talimatlara buradan ulaşabilirsiniz.
AWS Deep Learning AMI
Amazon Linux için Deep Learning Base AMI ve Deep Learning AMI’nın güncellemiş sürümleri AWS Marketplace’de sunulmuştur. AWS Deep Learning AMI veya Deep Learning Base AMI kullanan müşterilerine son AMI sürümünün (v21.1 for Deep Learning AMI ve v16.1 for Deep Learning Base AMI on Amazon Linux) yeni bulut sunucularını başlatmalarını öneriyor. Daha fazla bilgi Amazon Linux Güvenlik Merkezi’nde sunulmuştur. AWS müşterilerine nvidia-docker2 ve ilgili ürünlere güncellemeler için Nvidia’dan Güvenlik Bültenini izlemelerini de öneriyor.
AWS, Docker’ı Ubuntu üzerinde Deep Learning AMI veya Deep Learning Base AMI’leri ile kullanan müşterilerine son AMI sürümünün yeni bulut sunucularını başlatmalarını ve bu Docker’ı yükseltmek için bu talimatları takip etmelerini öneriyor (tüm kurulum adımlarının takip edildiğinden emin olun):
https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository
Bu talimatlar nvidia-docker2’yi otomatik olarak güncelleyecektir. Deep Learning Base AMI ve Deep Learning AMI for Ubuntu’nun güncellenmiş sürümü tüm ilgili güvenlik düzeltme ekleri yayınlandıktan sonra indirilebilecektir. Güncellenmiş AMI'ler erişilebilir olduğunda bu bülten güncellenecektir.