CVE 識別碼:CVE-2020-8558

這是此問題的更新。

AWS 已注意到 Kubernetes 社群最近披露會影響 Linux 容器網路的安全問題 (CVE-2020-8558)。此問題可讓同一個主機或臨近的主機 (在同一 LAN 或第 2 層網域上執行的主機) 上執行的容器連線繫結至 localhost (127.0.0.1) 的 TCP 和 UDP 服務。

用於隔離 Amazon ECS 和 Amazon EKS 中客戶的所有 AWS 安全控制會繼續正常運作。此問題對跨帳戶資料存取不存在任何風險。其中一個主機上容器內的程序可能能夠意外對同一主機或相同 VPC 和子網路內的其他主機進行網路存取。需要客戶採取動作,立即遷移的步驟可參閱:https://github.com/aws/containers-roadmap/issues/976。所有 Amazon ECS 和 Amazon EKS 客戶應更新至最新 AMI。

AWS Fargate
AWS Fargate 未受影響。客戶不需要採取任何動作。

Amazon Elastic Container Service (Amazon ECS)
現已提供更新的 Amazon ECS Optimized AMI。我們建議的一般安全性最佳實務是 ECS 客戶應更新其組態,透過最新的 AMI 版本啟動新的容器執行個體。

客戶可以透過參考 ECS 文件升級其 AMI。

Amazon Elastic Kubernetes Service (Amazon EKS)
現已提供更新的 Amazon EKS-Optimized AMI。作為一般安全性最佳實務,我們建議 EKS 客戶應更新其組態,透過最新的 AMI 版本啟動新的工作者節點。

使用受管節點群組的客戶可以透過參考 EKS 文件升級其節點群組。自我管理工作者節點的客戶應透過參考 EKS 文件使用新 AMI 版本取代現有執行個體。 

CVE 識別碼:CVE-2020-8558

您正在檢視此安全佈告欄的舊版本。

AWS 已注意到 Kubernetes 社群最近披露會影響 Linux 容器網路的安全問題 (CVE-2020-8558)。此問題可讓同一個主機或臨近的主機 (在同一 LAN 或第 2 層網域上執行的主機) 上執行的容器連線繫結至 localhost (127.0.0.1) 的 TCP 和 UDP 服務。

AWS Fargate 未受影響。客戶不需要採取任何動作。

用於隔離 Amazon ECS 和 Amazon EKS 中客戶的所有 AWS 安全控制會繼續正常運作。此問題對跨帳戶資料存取不存在任何風險。其中一個主機上容器內的程序可能能夠意外對同一主機或相同 VPC 和子網路內的其他主機進行網路存取。需要客戶採取動作,立即遷移的步驟可參閱:https://github.com/aws/containers-roadmap/issues/976

我們將針對 Amazon ECS 和 Amazon EKS 發布更新的 Amazon Machine Image,客戶應在更新可用時更新至這些 AMI。

AWS Fargate
AWS Fargate 未受影響。客戶不需要採取任何動作。

Amazon Elastic Container Service (Amazon ECS)
Amazon ECS 將於 2020 年 7 月 9 日發布更新的 ECS Optimized AMI,包括 Amazon Linux AMI、Amazon Linux 2 AMI、GPU-Optimized AMI、ARM-Optimized AMI 和 Inferentia-Optimized AMI。更新以使用上述其中一個 AMI 將緩解相關問題。我們會在 AMI 更新推出時更新此公佈欄。

Amazon Elastic Kubernetes Service (Amazon EKS)
Amazon EKS 將於 2020 年 7 月 9 日發布更新的 EKS Optimized AMI,包括適用於 Kubernetes 1.14、1.15 和 1.16 的 Amazon Linux 2 EKS-Optimized AMI 和 EKS-Optimized 加速 AMI。更新以使用上述其中一個 AMI 將緩解相關問題。我們會在 AMI 更新推出時更新此公佈欄。