CVE Tanımlayıcısı: CVE-2020-8558
Bu güncelleme, bu sorunla ilgilidir.
AWS, Linux container ağ iletişimini (CVE-2020-8558) etkileyen ve son zamanlarda Kubernetes topluluğu tarafından duyurulan bir güvenlik sorununun farkındadır. Bu sorun, aynı ana bilgisayarda veya bitişik ana bilgisayarlarda (aynı LAN veya katman 2 etki alanında çalışan ana bilgisayarlar) çalışan container’ların localhost'a bağlı TCP ve UDP hizmetlerine (127.0.0.1) erişmesine izin verebilir.
Amazon ECS ve Amazon EKS müşterileri arasındaki izolasyonu korumak için tüm AWS güvenlik kontrolleri doğru bir şekilde çalışmaya devam ediyor. Bu sorun, hesaplar arası veri erişimi riski oluşturmaz. Bir ana bilgisayardaki bir container içindeki işlemler, aynı ana bilgisayardaki veya aynı VPC ve alt ağ içindeki diğer ana bilgisayarlardaki diğer container’lara istenmeyen ağ erişimi verebilir. Müşteri eylemi gereklidir ve acil azaltma adımları https://github.com/aws/containers-roadmap/issues/976 adresinde bulunabilir. Tüm Amazon ECS ve Amazon EKS müşterileri en son AMI’a güncellenmelidir.
AWS Fargate
AWS Fargate etkilenmez. Müşterilerin herhangi bir işlem yapmasına gerek yoktur.
Amazon Elastic Container Service (Amazon ECS)
Güncellenmiş Amazon ECS optimize AMI’larına artık erişilebilirdir. En iyi genel güvenlik uygulaması olarak ECS müşterilerine en son AMI sürümünden yeni container bulut sunucularını başlatmaları için yapılandırmalarını güncellemelerini öneriyoruz.
Müşteriler, AMI’larını ECS belgelerine başvurarak yükseltebilir.
Amazon Elastic Kubernetes Service (Amazon EKS)
Güncellenmiş Amazon EKS optimize AMI'larına artık erişilebilir. En iyi genel güvenlik uygulaması olarak ECS müşterilerine en son AMI sürümünden, yeni çalışan düğümlerini başlatmaları için yapılandırmalarını güncellemelerini öneriyoruz.
Yönetilen düğüm grupları kullanan müşteriler, EKS belgelerine başvurarak düğüm gruplarını yükseltebilir. Kendi kendini yöneten çalışan düğümleri, EKS belgelerine başvurarak mevcut bulut sunucularını yeni AMI sürümüyle değiştirmelidir.
CVE Tanımlayıcısı: CVE-2020-8558
Bu güvenlik bülteninin eski bir sürümünü görüntülüyorsunuz.
AWS, Linux container ağ iletişimini (CVE-2020-8558) etkileyen ve son zamanlarda Kubernetes topluluğu tarafından duyurulan bir güvenlik sorununun farkındadır. Bu sorun, aynı ana bilgisayarda veya bitişik ana bilgisayarlarda (aynı LAN veya katman 2 etki alanında çalışan ana bilgisayarlar) çalışan container’ların localhost'a bağlı TCP ve UDP hizmetlerine (127.0.0.1) erişmesine izin verebilir.
AWS Fargate etkilenmez. Müşterilerin herhangi bir işlem yapmasına gerek yoktur.
Amazon ECS ve Amazon EKS müşterileri arasındaki izolasyonu korumak için tüm AWS güvenlik kontrolleri doğru bir şekilde çalışmaya devam ediyor. Bu sorun, hesaplar arası veri erişimi riski oluşturmaz. Bir ana bilgisayardaki bir container içindeki işlemler, aynı ana bilgisayardaki veya aynı VPC ve alt ağ içindeki diğer ana bilgisayarlardaki diğer container’lara istenmeyen ağ erişimi verebilir. Müşteri eylemi gereklidir ve acil azaltma adımları https://github.com/aws/containers-roadmap/issues/976 adresinde bulunabilir.
Hem Amazon ECS hem de Amazon EKS için güncellenmiş Amazon Machine Images’i yayınlayacağız ve müşteriler bu AMI’ları en kısa sürede güncellemelidir.
AWS Fargate
AWS Fargate etkilenmez. Müşterilerin herhangi bir işlem yapmasına gerek yoktur.
Amazon Elastic Container Service (Amazon ECS)
Amazon ECS, 9 Temmuz 2020 tarihinde Amazon Linux AMI, Amazon Linux 2 AMI, GPU Optimize AMI, ARM Optimize AMI ve Inferentia Optimize AMI dahil olmak üzere güncellenmiş ECS Optimize AMI’ları yayınlayacak. Bu AMI’lardan birini kullanmak için güncelleme yapmak, sorunu azaltacaktır. Güncellenmiş AMI’ler erişilebilir bu bülteni güncelleyeceğiz.
Amazon Elastic Kubernetes Service (Amazon EKS)
Amazon EKS, 9 Temmuz 2020 tarihinde Kubernetes 1.14, 1.15 ve 1.16 için Amazon Linux 2 EKS Optimize AMI ve EKS Optimize hızlandırılmış AMI dahil olmak üzere güncellenmiş EKS Optimize AMI'ları yayınlayacak. Bu AMI’lardan birini kullanmak için güncelleme yapmak, sorunu azaltacaktır. Güncellenmiş AMI’ler erişilebilir bu bülteni güncelleyeceğiz.