佈告欄 ID：AWS-2025-024
範圍： AWS
內容類型： 重要 (需要注意)
發布日期：2025 年 11 月 5 日上午 8:45 (太平洋夏令時間)

CVE 識別碼：CVE-2025-31133、CVE-2025-52565、CVE-2025-52881

AWS 已知悉近期披露的安全問題，這些問題影響多個開源容器管理系統 (CVE-2025-31133、CVE-2025-52565、CVE-2025-52881) 的 runc 元件，在啟動新容器時可能產生風險。AWS 不將容器視為安全邊界，亦不透過容器隔離不同客戶。這些問題不存在跨客戶風險。對於在自身自行管理環境中使用容器隔離工作負載的 AWS 客戶，強烈建議聯絡其作業系統供應商，以取得緩解這些問題相關潛在風險所需的更新或指示。

除了下方列出的 AWS 服務，客戶無需採取任何動作，即可解決此問題。作為安全最佳實務，AWS 向來建議您套用所有安全修補程式及軟體版本更新。

Amazon Linux

已更新版本的 runc 將用於 Amazon Linux 2 (runc-1.3.2-2.amzn2) 和 Amazon Linux 2023 (runc-1.3.2-2.amzn2023.0.1)。AWS 建議使用 Amazon Linux 2 或 Amazon Linux 2023 的客戶，將 runc 版本升級至至少 1.3.2-2。您可在 Amazon Linux 安全中心查看提供的更多資訊。

Bottlerocket

已更新版本的 runc 將包含在 Bottlerocket 1.50.0 中，該版本將於 2025 年 11 月 5 日發布。客戶若使用 Bottlerocket，AWS 建議套用此更新。您可在 Bottlerocket 版本備註中查看發布的更多資訊。

Amazon Elastic Container Service (ECS)

Amazon ECS 將於 2025 年 11 月 5 日發布 Amazon ECS 最佳化 Amazon Machine Image (AMI) 更新版本 (版本 20251031)。此更新版本包含新的 runc 版本 (版本 1.3.2-2)。建議在 EC2 執行個體上使用 ECS 的客戶，升級至這些最新 AMI，或執行「yum update -security」以取得安全修補程式。如需其他資訊，請參閱「Amazon ECS 最佳化 AMI」使用者指南。

Amazon ECS Fargate 將在 2025 年 11 月 5 日之後啟動的所有 Fargate 任務中，自動包含 runc 更新版本。客戶無須採取任何動作。

Amazon ECS 受管執行個體將於 2025 年 11 月 5 日發布包含 runc 更新版本的新 AMI。ECS 將防止新工作部署至現有容器執行個體。相反，所有新任務將改為部署至使用含 runc 更新版本之新 AMI 的新容器執行個體。客戶無須採取任何動作。

Amazon Elastic Kubernetes Service (EKS)

Amazon EKS 將於 2025 年 11 月 5 日發布更新版 EKS 自動模式 AMI，其中包含修補後的容器執行時期。設定為預設漂移設定的 Auto Mode NodePools，將自動開始升級至修補後的 AMI 版本。已設定節點中斷控制的節點，將在首次啟動後 21 天內升級至修補版本。若要立即升級節點，可刪除節點以強制立即替換。客戶可執行 kubectl get node -o wide 並檢查「OS Image」欄位，驗證節點是否執行修補後的 AMI。已修補的節點將顯示 2025.11.01 或更新日期 (例如：Bottlerocket (EKS Auto, Standard) 2025.11.01 (aws-k8s-1.34-standard))。

Amazon EKS 將於 2025 年 11 月 5 日發布更新版 EKS 最佳化 AL2/AL2023 Amazon Machine Image (AMI) v20251103，其中包含修補後的容器執行時期。EKS Bottlerocket AMI 1.50.0 亦包含修補後的容器執行時期。客戶若使用受管節點群組，可參閱 EKS 文件來升級其節點群組。客戶若使用 Karpenter，可依照漂移或 AMI 選擇相關文件來更新節點。客戶若使用自我管理工作節點，可透過參閱 EKS 文件來取代現有節點。

Amazon EKS Fargate 將於 2025 年 11 月 5 日，為新叢集或現有叢集上的新 Pod 提供更新。客戶必須刪除現有 Amazon EKS Fargate Pod，才能使用修補後的執行時期。客戶可執行 kubectl get nodes，透過檢查 Kubelet 版本是否以 eks-3cfe0ce 結尾，驗證節點是否已修補。如需有關刪除和建立 Fargate Pod 的資訊，請參閱「開始搭配 Amazon EKS 使用 AWS Fargate」文件。

Amazon EKS Anywhere 將於 2025 年 11 月 6 日發布更新版本 v0.24.0 與 0.23.5，其中包含修補後的 runc (版本 1.3.2-2)。客戶可以參閱 EKS Anywhere 升級叢集文件，了解如何升級叢集以使用修補後的虛擬機器映像。

AWS Elastic Beanstalk

以 AWS Elastic Beanstalk Docker 和 ECS 為基礎之平台的已更新版本將於 2025 年 11 月 5 日推出。客戶若啟用受管平台更新，將會在其選取的維護時段自動更新至最新平台版本，無須採取任何動作。客戶也能前往「受管更新」設定頁面並按一下「立即套用」按鈕以立即更新。未啟用受管平台更新的客戶可以遵循文件中的指示，更新其環境平台版本。

Finch

2025 年 11 月 5 日推出的最新版本 v1.13.0 中，將為 macOS 與 Windows 平台的 Finch 提供 runc 更新版本。客戶應在 macOS 和 Windows 上升級其 Finch 安裝版本，以解決此問題。可透過專案的 GitHub 版本頁面下載 Finch 版本，如果您透過 Homebrew 安裝了 Finch，則可透過執行「brew update」來下載。更新完成後，需透過刪除虛擬機器並重新初始化的方式，重新初始化虛擬機器。

AWS 深度學習 AMI

Amazon Linux 2 與 Amazon Linux 2023 深度學習 AMI 更新版本，將於 2025 年 11 月 5 日推出。客戶應在更新版本推出後，升級至最新 AMI 版本。

AWS Batch

我們建議的一般安全性最佳實務是 Batch 客戶應在最新 AMI 推出後，使用新版本取代現有的運算環境。您可在 Batch 產品文件中，取得運算環境的相關取代指示。更新的 Amazon ECS 和 EKS 最佳化 AMI 將會在 2025 年 11 月 12 日推出，作為預設的運算環境 AMI。

Batch 客戶若未使用預設 AMI，應聯絡作業系統廠商取得解決這些問題必需的更新。您可在 Batch 產品文件中，取得 Batch 自訂 AMI 的指示。

Amazon SageMaker

2025 年 11 月 7 日之後建立或重啟的所有 SageMaker 資源，將自動包含修補後的 runc 版本。這包括 SageMaker 筆記本執行個體、SageMaker 訓練任務、SageMaker 處理作業、SageMaker 批次轉換作業、SageMaker Studio 和 SageMaker Inference。一旦 AWS 深度學習 AMI 與 Amazon Linux AMI 準備就緒，AWS 將開始為 2025 年 11 月 7 日之前建立的既有 SageMaker 資源部署修補程式。

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。