您正在檢視此安全佈告欄的舊版本。如需最新版本,請造訪:「Container 安全問題 (CVE-2019-5736)」。

2019 年 2 月 13 日下午 11:00 PST

CVE 識別符:CVE-2019-5736

AWS 注意到最近披露的安全性問題,這些問題會影響數個開放原始碼容器管理系統 (CVE-2019-5736)。除了下方列出的 AWS 服務,客戶無需採取任何動作,即可解決此問題。

Amazon Linux

Amazon Linux 2 額外的儲存庫和 Amazon Linux AMI 2018.03 儲存庫 (ALAS-2019-1156) 皆可使用更新的 Docker 版本 (docker-18.06.1ce-7.amzn2)。AWS 建議在 Amazon Linux 使用 Docker 的客戶透過最新的 AMI 版本啟動新執行個體。您可在 Amazon Linux 安全中心查看更多資訊。

Amazon Elastic Container Service (Amazon ECS)

Amazon ECS 最佳化 AMI (包含 Amazon Linux AMIAmazon Linux 2 AMIGPU 最佳化 AMI) 現已推出。我們建議的一般安全性最佳實務是 ECS 客戶應更新其組態,透過最新的 AMI 版本啟動新的容器執行個體。客戶應使用新的 AMI 版本取代現有容器執行個體來處理以上所述的問題。您可在 Amazon Linux AMIAmazon Linux 2 AMIGPU 最佳化 AMI 的 ECS 文件中找到取代現有容器執行個體的指示。

我們建議未使用 ECS 最佳化 AMI 的 Linux 客戶視需要向作業系統、軟體或 AMI 的廠商諮詢,以取得更新與指示。您可在 Amazon Linux 安全中心中查看 Amazon Linux 相關指示。

Amazon Elastic Container Service for Kubernetes (Amazon EKS)

您可在 AWS Marketplace 取得 Amazon EKS Optimized AMI。我們建議的一般安全性最佳實務是 EKS 客戶應更新其組態,透過最新的 AMI 版本啟動新的工作者節點。客戶應使用新的 AMI 版本取代現有工作者節點來處理以上所述的問題。您可以在 EKS 文件中找到工作者節點的相關更新指示。

未使用 EKS 最佳化 AMI 的 Linux 客戶應聯絡其作業系統廠商,取得解決這些問題必需的更新。您可在 Amazon Linux 安全中心中查看 Amazon Linux 相關指示。

AWS Fargate

現已推出 Fargate 平台版本 1.3 的更新版本,此版本可減輕 CVE-2019-5736 中所述的問題。舊平台版本 (1.0.0、1.1.0、1.2.0) 的修補版本會在 2019 年 3 月 15 日推出。

執行 Fargate 服務的客戶應在 "--force-new-deployment" 啟用時呼叫 UpdateService,以在最新平台版本 1.3 上啟動所有新任務。執行獨立任務的客戶應終止現有任務,並使用最新版本重新啟動。您可在 Fargate 更新文件中找到特定指示。

沒有升級至修補版本的所有任務會在 2019 年 4 月 19 日淘汰。使用獨立任務的客戶必須啟動新任務,取代那些已淘汰的任務。您可在 Fargate 任務淘汰文件中找到其他詳細資訊。

AWS IoT Greengrass

AWS IoT GreenGrass 核心 1.7.1 和 1.6.1 已有可用的更新版本。更新版本需要在 Linux 核心 3.17 版或更高版本中推出的功能。您可在這裡找到如何更新核心的相關指示。

我們建議的一般安全性最佳實務是執行任何版本 GreenGrass 核心的客戶應升級至 1.7.1 版。您可在這裡找到無線更新的相關更新指示。

AWS Batch

更新的 Amazon ECS 最佳化 AMI 可作為預設的運算環境 AMI 予以推出。 我們建議的一般安全性最佳實務是 Batch 客戶應在最新 AMI 推出後,使用新版本取代現有的運算環境。您可在 Batch 產品文件中取得運算環境的相關取代指示。

未使用預設 AMI 的 Batch 客戶應聯絡其作業系統廠商,取得解決這些問題必需的更新。您可在 Batch 產品文件中取得 Batch 自訂 AMI 的指示。

AWS Elastic Beanstalk

以 AWS Elastic Beanstalk Docker 為基礎的平台的更新版本現已推出。使用受管平台更新的客戶會在其選取的維護時段自動更新至最新平台版本,無須採取任何動作。客戶也能前往「受管更新」設定頁面並按一下「立即套用」按鈕以立即更新。未啟用受管平台更新的客戶可以遵循這裡的指示,更新其環境平台版本。

AWS Cloud9

支援 Amazon Linux 的 AWS Cloud9 環境更新版本現已推出。根據預設,客戶會在第一次啟動時套用安全性修補。具備現有以 EC2 為基礎之 AWS Cloud9 環境的客戶,應透過最新的 AWS Cloud9 版本啟動新執行個體。您可在 Amazon Linux 安全中心查看更多資訊。

使用 SSH 環境,但不是使用 Amazon Linux 的 AWS Cloud9 建置環境的客戶,應聯絡其作業系統廠商,取得解決這些問題必需的更新。

AWS SageMaker

現已推出 Amazon SageMaker 的更新版本。使用 Amazon SageMaker 預設演算法容器或框架容器來進行培訓、調校、批次轉換或作為端點的客戶不會受到影響。執行標籤或匯集任務的客戶也不會受到影響。未使用 Amazon SageMaker 筆記本執行 Docker 容器的客戶不會受到影響。此外,在 2 月 11 日或之後啟動且具有 CPU 執行個體的所有 Amazon SageMaker 筆記本,會包含最新更新,客戶無須採取動作。在 2 月 11 日或之後啟動的所有端點、標籤、培訓、調校、匯集和批次轉換任務會包含最新更新,客戶無須採取動作。

AWS 建議,執行培訓、調校和批次轉換任務,且具備在 2 月 11 日前建立之自訂程式碼的客戶,應停止並開始其任務,以納入最新更新。您可透過 Amazon SageMaker 主控台,或遵循這裡的指示來完成這些動作。

Amazon SageMaker 每四週會將運作中的所有端點自動更新至最新軟體。在 2 月 11 日前建立的所有端點預期會在 3 月 11 日前更新。如果自動更新發生任何問題,且客戶需要採取動作來更新其端點,Amazon SageMaker 會在客戶的個人運作狀態儀表板推送通知。希望盡快更新其端點的客戶可以隨時透過 Amazon SageMaker 主控台,或透過使用 UpdateEndpoint API 動作手動更新其端點。我們建議其端點已啟用自動擴展的客戶遵循這裡的指示,採取額外的預防措施。

AWS 建議在與 CPU 執行個體搭配執行 Amazon SageMaker 筆記本中執行 Docker 容器的客戶,應停止並開始 Amazon SageMaker 筆記本執行個體,以取得最新可用的軟體。您可透過 Amazon SageMaker 主控台來完成此動作。或者,客戶可以使用 StopNotebookInstance API 先停止筆記本執行個體,然後使用 StartNotebookInstance API 開始筆記本執行個體。

在 Nvidia 修補發佈不久後,客戶就可以使用含 GPU 執行個體的 Amazon SageMaker 筆記本更新版本。此佈告欄會在更新版本推出時更新。在含 GPU 執行個體之筆記本上執行 Docker 容器的客戶,可以透過主控台暫時停止其筆記本執行個體,或是透過使用 StopNotebookInstance API 採取預防性動作,接著在更新版本推出時,使用 StartNotebookInstance 啟動筆記本執行個體。

AWS RoboMaker

現已推出 AWS RoboMaker 開發環境的更新版本。新開發環境將使用最新版本。AWS 建議的一般安全性最佳實務是使用 RoboMaker 開發環境的客戶應將其 Cloud9 環境更新至最新版本。

現已提供更新版本的 AWS IoT GreenGrass 核心。使用 RoboMaker Fleet Management 的所有客戶應將 GreenGrass 核心升級至 1.7.1 版。您可在這裡找到無線升級的相關升級指示。

AWS 深度學習 AMI

AWS Marketplace 現已提供適用於 Amazon Linux 的更新版本深度學習基礎 AMI 以及深度學習 AMI。AWS 建議,曾在其深度學習 AMI 或深度學習基礎 AMI 上使用 Docker 的客戶,啟動最新 AMI 版本的新執行個體 (深度學習 AMI 啟動 21.1 版,在 Amazon Linux 上的深度學習基礎 AMI 則啟動 16.1 版)。您可在 Amazon Linux 安全中心查看其他資訊。AWS 也建議客戶監控來自 Nvidia 的安全性佈告欄,以便取得 nvidia-docker2 和相關產品的更新。

AWS 建議,已在 Ubuntu 上將 Docker 與深度學習 AMI 或深度學習基礎 AMI 搭配使用的客戶啟動最新 AMI 版本的新執行個體,並遵循這些指示來升級 Docker (確保已遵循所有安裝步驟):

https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository

這些指示也將自動更新 nvidia-docker2。在所有相關安全性修補發行後,適用於 Ubuntu 的深度學習基礎 AMI 和深度學習 AMI 的更新版本,將可供下載。此佈告欄會在更新的 AMI 可供使用時進行更新。