您正在檢視此安全佈告欄的舊版本。如需最新版本,請造訪:「Container 安全問題 (CVE-2019-5736)」。
2019 年 2 月 11 日上午 7:00 PST
CVE 識別符:CVE-2019-5736
AWS 注意到最近披露的安全性問題,這些問題會影響數個開放原始碼容器管理系統 (CVE-2019-5736)。除了下方列出的 AWS 服務,客戶無需採取任何動作,即可解決此問題。
Amazon Linux
Amazon Linux 2 (ALAS-2019-1156) 和 Amazon Linux AMI 2018.03 儲存庫 (ALAS-2019-1156) 都可使用更新的 Docker 版本。AWS 建議在 Amazon Linux 使用 Docker 的客戶透過最新的 AMI 版本啟動新執行個體。您可在 Amazon Linux 安全中心查看更多資訊。
Amazon Elastic Container Service (Amazon ECS)
更新的 Amazon ECS 最佳化 AMI (包含 Amazon Linux AMI、Amazon Linux 2 AMI 和 GPU 最佳化的 AMI) 將會在 2019 年 2 月 11 日推出。我們會在 AMI 更新推出時更新此公佈欄。我們建議的一般安全性最佳實務是 ECS 客戶應更新其組態,透過最新的 AMI 版本啟動新的容器執行個體。客戶應使用新的 AMI 版本取代現有容器執行個體來處理以上所述的問題。您可在 Amazon Linux AMI、Amazon Linux 2 AMI 和 GPU 最佳化 AMI 的 ECS 文件中找到此操作的指示。
我們建議未使用 ECS 最佳化 AMI 的 Linux 客戶視需要向替代 / 第三方作業系統、軟體或 AMI 的廠商諮詢,以取得更新與指示。您可在 Amazon Linux 安全中心中查看 Amazon Linux 相關指示。
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
更新的 Amazon EKS 最佳化 AMI 將會在 2019 年 2 月 11 日推出。我們會在 AMI 更新推出時更新此公佈欄。我們建議的一般安全性最佳實務是 EKS 客戶應更新其組態,透過最新的 AMI 版本啟動新的工作者節點。客戶應使用新的 AMI 版本取代現有工作者節點來處理以上所述的問題。您可以在 EKS 文件中找到工作者節點的相關更新指示。
未使用 EKS 最佳化 AMI 的 Linux 客戶應聯絡其作業系統廠商,取得解決這些問題必需的更新。您可在 Amazon Linux 安全中心中查看 Amazon Linux 相關指示。
AWS Fargate
現已推出 Fargate 平台版本 1.3 的更新版本,此版本可減輕 CVE-2019-5736 中所述的問題。舊平台版本 (1.0.0、1.1.0、1.2.0) 的修補版本會在 2019 年 3 月 15 日推出。
執行 Fargate 服務的客戶應在「--force-new-deployment」啟用時呼叫 UpdateService,以在最新平台版本 1.3 上啟動所有新任務。執行獨立任務的客戶應終止現有任務,並使用最新版本重新啟動。您可在 Fargate 更新文件中找到特定指示。
沒有升級至修補版本的所有任務會在 2019 年 4 月 19 日淘汰。使用獨立任務的客戶必須啟動新任務,取代那些已淘汰的任務。您可在 Fargate 任務淘汰文件中找到其他詳細資訊。
AWS IoT Greengrass
AWS IoT Greengrass 核心的更新版本將會在 2019 年 2 月 11 日推出。此公佈欄會在修補版本推出時更新。更新版本需要在 Linux kernel 3.17 版或更高版本中推出的功能。您可在這裡找到如何更新 kernel 的相關指示。
我們建議的一般安全性最佳實務是執行任何版本 Greengrass 核心的客戶應升級至 1.7.1 版。您可在這裡找到無線更新的相關更新指示。
AWS Batch
更新的 Amazon ECS 最佳化 AMI 將會在 2019 年 2 月 11 日推出,作為預設的運算環境 AMI。此公佈欄會在此 AMI 推出時更新。我們建議的一般安全性最佳實務是 Batch 客戶應在最新 AMI 推出後,使用新版本取代現有的運算環境。如果 Batch 客戶需要立即更新,我們會建議在建立運算環境時使用最新的 ECS 最佳化 AMI,覆寫預設的 AMI。您可在 Batch 產品文件中取得運算環境的相關取代指示。
未使用預設 AMI 的 Batch 客戶應聯絡其作業系統廠商,取得解決這些問題必需的更新。您可在 Batch 產品文件中取得 Batch 自訂 AMI 的指示。
AWS Elastic Beanstalk
更新的 AWS Elastic Beanstalk 以 Docker 為基礎的平台將會在 2019 年 2 月 11 日推出。此公佈欄會在新平台版本推出時更新。使用受管平台更新的客戶會在其選取的維護時段自動更新至最新平台版本,無須採取任何動作。客戶也能前往「受管更新」設定頁面並按一下「立即套用」按鈕以立即更新。未啟用受管平台更新的客戶可以遵循這裡的指示,更新其環境平台版本。
AWS Cloud9
支援 Amazon Linux 的 AWS Cloud9 環境更新版本現已推出。根據預設,客戶會在第一次啟動時套用安全性修補。具備現有以 EC2 為基礎之 AWS Cloud9 環境的客戶,應透過最新的 AWS Cloud9 版本啟動新執行個體。您可在 Amazon Linux 安全中心查看更多資訊。
使用 SSH 環境,但不是使用 Amazon Linux 的 AWS Cloud9 建置環境的客戶,應聯絡其作業系統廠商,取得解決這些問題必需的更新。
AWS SageMaker
現已推出 Amazon SageMaker 的更新版本。使用 Amazon SageMaker 預設演算法容器或框架容器來進行訓練、調整、批次轉換或作為端點的客戶不會受到影響。執行標籤或匯集任務的客戶也不會受到影響。未使用 Amazon SageMaker 筆記本執行 Docker 容器的客戶不會受到影響。此外,在 2 月 11 日或之後啟動且具有 CPU 執行個體的所有 Amazon SageMaker 筆記本,會包含最新更新,客戶無須採取動作。在 2 月 11 日或之後啟動的所有端點、標籤、訓練、調整、匯集和批次轉換任務會包含最新更新,客戶無須採取動作。
AWS 建議,執行訓練、調整和批次轉換任務,且具備在 2 月 11 日前建立之自訂程式碼的客戶,應停止並開始其任務,以納入最新更新。您可透過 Amazon SageMaker 主控台,或遵循這裡的指示來完成這些動作。
Amazon SageMaker 每四週會將運作中的所有端點自動更新至最新軟體。在 2 月 11 日前建立的所有端點預期會在 3 月 11 日前更新。如果自動更新發生任何問題,且客戶需要採取動作來更新其端點,Amazon SageMaker 會在客戶的個人運作狀態儀表板推送通知。希望盡快更新其端點的客戶可以隨時透過 Amazon SageMaker 主控台,或透過使用 UpdateEndpoint API 動作手動更新其端點。我們建議其端點已啟用自動擴展的客戶遵循這裡的指示,採取額外的預防措施。
AWS 建議在與 CPU 執行個體搭配執行 Amazon SageMaker 筆記本中執行 Docker 容器的客戶,應停止並開始 Amazon SageMaker 筆記本執行個體,以取得最新可用的軟體。您可透過 Amazon SageMaker 主控台來完成此動作。或者,客戶可以使用 StopNotebookInstance API 先停止筆記本執行個體,然後使用 StartNotebookInstance API 開始筆記本執行個體。
在 Nvidia 修補發行不久後,客戶就可以使用含 GPU 執行個體的 Amazon SageMaker 筆記本更新版本。此公佈欄會在更新版本推出時更新。在含 GPU 執行個體之筆記本上執行 Docker 容器的客戶,可以透過主控台暫時停止其筆記本執行個體,或是透過使用 StopNotebookInstance API 採取預防性動作,接著在更新版本推出時,使用 StartNotebookInstance 啟動筆記本執行個體。
AWS RoboMaker
在 Canonical 和 Docker 發行修補不久後,即會推出 AWS RoboMaker 開發環境的更新版本。此公佈欄會在此更新推出時更新。AWS 建議的一般安全性最佳實務是使用 RoboMaker 開發環境的客戶應將其 Cloud9 環境更新至最新版本。
AWS IoT Greengrass 核心的更新版本將會在 2019 年 2 月 11 日推出。此公佈欄會在此更新版本推出時更新。使用 RoboMaker 叢集管理的所有客戶應在更新的 Greengrass 核心推出時,將 Greengrass 核心更新至最新版本。客戶應遵循這些指示來接收更新。
AWS 深度學習 AMI
AWS 建議,在 Amazon Linux 上將 Docker 與深度學習 AMI 或深度學習基礎 AMI 搭配使用的客戶,應啟動最新 AMI 版本的新執行個體,並執行以下命令升級 Docker:
sudo yum 升級 docker
深度學習基礎 AMI 和深度學習 AMI 的更新版本,會在所有相關安全性修補都發行後提供下載。此公佈欄會在新 AMI 推出時更新。
您可在 Amazon Linux 安全中心查看其他資訊。
在 Ubuntu 上針對在 CVE-2019-5736 所述問題的 Docker 更新發行後,AWS 建議已在 Ubuntu 上將 Docker 與深度學習 AMI 或深度學習基礎 AMI 搭配使用的客戶,應啟動最新 AMI 版本的新執行個體,並遵循這些指示來升級 Docker (確保已遵循所有安裝步驟):
https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository
AWS 也建議客戶監控來自 Nvidia 的安全性佈告欄,以取得 nvidia-docker2 和相關產品的更新。