這是此問題的更新。
帶有修補程式 runC 的 AWS IoT Greengrass Core V1 (1.10.4 和 1.11.3) 二進位檔現在可供下載 (https://docs.aws.amazon.com/greengrass/v1/developerguide/what-is-gg.html)。AWS IoT 主控台中還提供更新的 Greengrass V2 Lambda Launcher v2.0.6 (https://docs.aws.amazon.com/greengrass/v2/developerguide/lambda-launcher-component.html)。我們建議 Greengrass 客戶升級至最新的二進位檔和 Lambda Launcher 以包含最新的 runC 修補程式。
您正在檢視此安全佈告欄的舊版本。
AWS 意識到最近披露的 runC 中的安全問題,runC 是許多容器管理系統的一個元件 (CVE-2021-30465)。除了下方列出的 AWS 服務,客戶無需採取任何動作,即可解決此問題。
Amazon Elastic Container Service (Amazon ECS)
Amazon ECS 於 2021 年 5 月 21 日發佈了更新的 ECS 最佳化 Amazon Machine Images (AMI),其中包含已修補的容器執行時間。您可在 https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html 查看有關 ECS 最佳化 AMI 的更多資訊。
若要同時解決此問題,我們建議 ECS 客戶執行 yum update --security 以取得此修補程式。更多資訊請見:https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-updates.html。
Amazon Elastic Kubernetes Service (Amazon EKS)
Amazon EKS 發佈了更新的 EKS 最佳化 Amazon Machine Images (AMI),其中包含已修補的容器執行時間。您可在 https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html 查看有關 EKS 最佳化 AMI 的更多資訊。
我們建議 EKS 客戶替換所有工作者節點,以便使用最新的 EKS 最佳化 AMI 版本。您可在 https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html 查看更新工作者節點的相關說明。
Bottlerocket
Amazon 已發佈 Bottlerocket AMI 和就地更新。更新至最新的就地更新或使用最新 AMI 取代執行個體將解決此問題。
如果您使用的是 Bottlerocket Update Operator for Kubernetes,則應在一天內開始節點更新,在一週內完成所有節點更新。客戶可透過兩個 API 呼叫手動更快地升級:apiclient set updates.ignore-waves=true 和 apiclient update apply --check --reboot。更新完成後,請透過 apiclient set updates.ignore-waves=false 回復至預設設定。
Amazon Linux 與 Amazon Linux 2
Amazon Linux 2 Extras 儲存庫 (*runc-1.0.0-0.2.20210225.git12644e6.amzn2*) 和 Amazon Linux AMI 2018.03 儲存庫 (*runc-1.0.0-0.2.20210225.git12644e6.3.amzn1*) 皆可使用更新的 runc 版本。AWS 建議在 Amazon Linux 中使用容器的客戶更新至最新版本的 runc 並重新啟動任何執行中的容器。
AWS Cloud9
支援 Amazon Linux 的 AWS Cloud9 環境更新版本現已推出。根據預設,客戶會在第一次啟動時套用安全性修補。具備現有以 EC2 為基礎之 AWS Cloud9 環境的客戶,應透過最新的 AWS Cloud9 版本啟動新執行個體。您可在 Amazon Linux 安全中心 (https://alas.aws.amazon.com/) 查看更多資訊。
使用 SSH 環境,但不是使用 Amazon Linux 的 AWS Cloud9 建置環境的客戶,應聯絡其作業系統廠商,取得解決這些問題必需的更新。
AWS IoT Greengrass
更新的 AWS IoT Greengrass Core V1 二進位檔和 Greengrass V2 Lambda Launcher 將於 6 月 15 日作為 Greengrass 的最新版本提供。此佈告欄將在修補程式可用後更新。
Greengrass 使用 runC 程式庫在 Greengrass Core 裝置上的 OCI 相容容器內執行 Lambda 函數。部署給 Greengrass Core 的 Lambda 函數是透過驗證授權的雲端 API、驗證的授權本機 CLI (如有啟用),或透過本機根存取提供給 Greengrass。這意味著 Greengrass 將僅部署和執行預期的 Lambda 函數,只要 Lambda 函數是從受信任的來源部署的,就不需要採取任何動作。作為最佳實務,客戶應僅從受信任的來源部署 Lambdas。
AWS 深度學習 AMI
AWS EC2 主控台和 AWS Marketplace 現已提供適用於 Amazon Linux 和 Amazon Linux2 的更新版本深度學習基礎 AMI 以及深度學習 AMI。AWS 建議,將 Docker 與深度學習基礎 AMI 或深度學習 AMI 搭配使用的客戶,應啟動最新 AMI 版本的新執行個體 (v35.0 或更新版本適用於 Amazon Linux 上的深度學習基礎 AMI、v38.0 或更新版本適用於 Amazon Linux2 上的深度學習基礎 AMI,以及 v45.0 或更新版本適用於 Amazon Linux 和 Amazon Linux2 上的深度學習基礎 AMI)。您可在 Amazon Linux 安全中心查看其他資訊。
AWS Batch
AMI 更新後:
更新的 Amazon ECS 最佳化 AMI 可作為預設的運算環境 AMI 予以推出。我們建議 Batch 客戶應在最新 AMI 推出後,使用新版本取代現有的運算環境。您可在 Batch 產品文件
(https://docs.aws.amazon.com/batch/latest/userguide/compute_environments.html#managed_compute_environments) 中取得運算環境的相關取代指示。
未使用預設 AMI 的 Batch 客戶應聯絡其作業系統廠商,取得解決這些問題必需的更新。可在 Batch 產品文件 (https://docs.aws.amazon.com/batch/latest/userguide/create-batch-ami.html) 中取得 Batch 自訂 AMI 的指示。
AWS Elastic Beanstalk
以 AWS Elastic Beanstalk Docker 為基礎的平台的更新版本現已推出。我們建議客戶透過前往「受管更新」設定頁面並按一下「立即套用」按鈕以立即更新。未啟用受管平台更新的客戶可以遵循這裡的指示,更新其環境平台版本。使用受管平台更新的客戶會在其選取的維護時段自動更新至最新平台版本,無須採取任何動作。還提供有版本備註。