13/2/2019 9:00 CH PST
Mã định danh CVE: CVE-2019-5736
AWS đã biết về sự cố bảo mật được tiết lộ gần đây gây ảnh hưởng đến một số hệ thống quản lý bộ chứa mã nguồn mở (CVE-2019-5736). Khách hàng không cần thực hiện hành động nào để giải quyết những sự cố này, ngoại trừ các dịch vụ AWS được liệt kê dưới đây.
Amazon Linux
Đã có phiên bản cập nhật của Docker (docker-18.06.1ce-7.amzn2) cho kho lưu trữ bổ sung của Amazon Linux 2 và kho lưu trữ của Amazon Linux AMI 2018.03 (ALAS-2019-1156). AWS khuyến nghị những khách hàng đang sử dụng Docker trong Amazon Linux nên khởi chạy các phiên bản mới từ phiên bản AMI mới nhất. Bạn có thể tìm thêm thông tin tại Trung tâm bảo mật Amazon Linux.
Amazon Elastic Container Service (Amazon ECS)
Đã có các AMI được tối ưu hóa cho Amazon ECS, bao gồm Amazon Linux AMI, Amazon Linux 2 AMI và AMI được tối ưu hóa cho GPU. Như một biện pháp tốt nhất về bảo mật chung, chúng tôi khuyến nghị khách hàng của ECS nên cập nhật cấu hình của mình để khởi chạy các phiên bản bộ chứa mới từ phiên bản AMI mới nhất. Khách hàng nên thay thế các phiên bản bộ chứa hiện có bằng phiên bản AMI mới để giải quyết sự cố được mô tả ở trên. Bạn có thể tìm thấy hướng dẫn thay thế phiên bản bộ chứa hiện có trong tài liệu về ECS cho Amazon Linux AMI, Amazon Linux 2 AMI và AMI được tối ưu hóa cho GPU.
Những khách hàng của Linux không sử dụng AMI được tối ưu hóa cho ECS nên tham khảo nhà cung cấp hệ điều hành, phần mềm hoặc AMI của mình để có các bản cập nhật và hướng dẫn khi cần. Bạn có thể tìm thấy hướng dẫn về Amazon Linux trong Trung tâm bảo mật Amazon Linux.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Đã có bản cập nhật AMI được tối ưu hóa cho Amazon EKS trên AWS Marketplace. Như một biện pháp tốt nhất về bảo mật chung, chúng tôi khuyến nghị khách hàng của EKS nên cập nhật cấu hình của mình để khởi chạy các nút thợ mới từ phiên bản AMI mới nhất. Khách hàng nên thay thế các nút thợ hiện có bằng phiên bản AMI mới để giải quyết sự cố được mô tả ở trên. Bạn có thể tìm thấy hướng dẫn về cách cập nhật các nút thợ trong tài liệu về EKS.
Những khách hàng của Linux không sử dụng AMI được tối ưu hóa cho EKS nên liên hệ với nhà cung cấp hệ điều hành của mình để có các bản cập nhật cần thiết nhằm giải quyết các sự cố này. Bạn có thể tìm thấy hướng dẫn về Amazon Linux trong Trung tâm bảo mật Amazon Linux.
AWS Fargate
Đã có phiên bản cập nhật của Fargate cho Phiên bản nền tảng 1.3 để giảm nhẹ các sự cố được mô tả trong CVE-2019-5736. Phiên bản vá lỗi của các Phiên bản nền tảng cũ (1.0.0, 1.1.0, 1.2.0) sẽ ra mắt vào ngày 15/3/2019.
Những khách hàng chạy Dịch vụ Fargate nên gọi UpdateService với "--force-new-deployment" được kích hoạt để khởi chạy tất cả các Tác vụ mới trên Phiên bản nền tảng 1.3 mới nhất. Những khách hàng đang chạy các tác vụ độc lập nên dừng các tác vụ hiện có và khởi chạy lại bằng phiên bản mới nhất. Bạn có thể xem hướng dẫn cụ thể trong tài liệu về việc cập nhật Fargate.
Tất cả các tác vụ không được nâng cấp lên phiên bản vá lỗi sẽ ngừng hoạt động vào ngày 19/4/2019. Những khách hàng sử dụng các tác vụ độc lập phải khởi chạy các tác vụ mới để thay thế các tác vụ đã ngừng hoạt động. Bạn có thể tìm thấy thông tin chi tiết bổ sung trong tài liệu Tác vụ ngừng hoạt động của Fargate.
AWS IoT Greengrass
Đã có phiên bản cập nhật của lõi AWS IoT GreenGrass cho phiên bản 1.7.1 và 1.6.1. Các phiên bản cập nhật yêu cầu những tính năng có sẵn từ nhân Linux phiên bản 3.17 trở lên. Bạn có thể xem hướng dẫn về cách cập nhật nhân tại đây.
Như một biện pháp tốt nhất về bảo mật chung, chúng tôi khuyến nghị các khách hàng đang chạy bất kỳ phiên bản lõi GreenGrass nào nâng cấp lên phiên bản 1.7.1. Bạn có thể xem hướng dẫn về cách cập nhật qua kết nối không dây tại đây.
AWS Batch
Đã có bản cập nhật AMI được tối ưu hóa cho Amazon ECS dưới dạng AMI Môi trường điện toán mặc định. Như một biện pháp tốt nhất về bảo mật chung, chúng tôi khuyến nghị khách hàng của Batch thay thế Môi trường điện toán hiện có bằng AMI có sẵn mới nhất. Bạn có thể tìm thấy hướng dẫn thay thế Môi trường điện toán trong tài liệu về sản phẩm Batch.
Những khách hàng của Batch không sử dụng AMI mặc định nên liên hệ với nhà cung cấp hệ điều hành của mình để nhận các bản cập nhật cần thiết nhằm giải quyết các sự cố này. Bạn có thể tìm thấy hướng dẫn về AMI tùy chỉnh cho Batch trong tài liệu về sản phẩm Batch.
AWS Elastic Beanstalk
Đã có các phiên bản nền tảng hoạt động trên Docker cho AWS Elastic Beanstalk mới nhất. Những khách hàng sử dụng Cập nhật nền tảng được quản lý sẽ được tự động cập nhật lên phiên bản nền tảng mới nhất trong khoảng thời gian bảo trì đã chọn mà không cần thực hiện hành động nào khác. Khách hàng cũng có thể cập nhật ngay bằng cách truy cập trang cấu hình Cập nhật được quản lý và nhấp vào nút "Áp dụng ngay". Những khách hàng không bật Cập nhật nền tảng được quản lý có thể cập nhật phiên bản nền tảng của môi trường bằng cách làm theo hướng dẫn tại đây.
AWS Cloud9
Đã có phiên bản cập nhật của môi trường AWS Cloud9 trên Amazon Linux. Theo mặc định, các bản vá lỗi bảo mật sẽ được áp dụng cho khách hàng trong lần khởi động đầu tiên. Những khách hàng hiện đang có các môi trường AWS Cloud9 dựa trên EC2 nên khởi chạy các phiên bản mới từ phiên bản AWS Cloud9 mới nhất. Bạn có thể tìm thêm thông tin tại Trung tâm bảo mật Amazon Linux.
Những khách hàng của AWS Cloud9 sử dụng môi trường SSH không được xây dựng trên Amazon Linux nên liên hệ với nhà cung cấp hệ điều hành của mình để nhận các bản cập nhật cần thiết nhằm giải quyết các sự cố này.
AWS SageMaker
Đã có phiên bản cập nhật của Amazon Sagemaker. Những khách hàng sử dụng bộ chứa thuật toán mặc định hoặc bộ chứa framework của Amazon SageMaker để đào tạo, tinh chỉnh, chuyển đổi hàng loạt hoặc làm điểm cuối sẽ không bị ảnh hưởng. Những khách hàng đang chạy các tác vụ gắn nhãn hoặc biên dịch cũng không bị ảnh hưởng. Những khách hàng không sử dụng sổ ghi chép Amazon Sagemaker để chạy bộ chứa Docker không bị ảnh hưởng. Tất cả các tác vụ điểm cuối, gắn nhãn, đào tạo, tinh chỉnh, biên dịch và chuyển đổi hàng loạt được khởi chạy từ ngày 11/2 trở đi sẽ bao gồm bản cập nhật mới nhất mà khách hàng không cần thực hiện hành động nào khác. Tất cả các sổ ghi chép Amazon SageMaker được khởi chạy từ ngày 11/2 trở đi với các phiên bản CPU và tất cả các sổ ghi chép Amazon SageMaker được khởi chạy từ 18:00 PT ngày 13/2 trở đi với các phiên bản GPU sẽ bao gồm các bản cập nhật mới nhất mà khách hàng không cần thực hiện hành động nào khác.
AWS khuyến nghị những khách hàng đang chạy các tác vụ đào tạo, tinh chỉnh và chuyển đổi hàng loạt với mã tùy chỉnh được tạo trước ngày 11/2 nên dừng và khởi động các tác vụ của mình để bao gồm bản cập nhật mới nhất. Có thể thực hiện những hành động này từ bảng điều khiển Amazon SageMaker hoặc làm theo hướng dẫn tại đây.
Amazon SageMaker tự động cập nhật tất cả các điểm cuối đang hoạt động lên phần mềm mới nhất sau mỗi bốn tuần. Tất cả các điểm cuối được tạo trước ngày 11/2 dự kiến sẽ được cập nhật vào ngày 11/3. Nếu có bất kỳ sự cố nào với các bản cập nhật tự động và khách hàng cần thực hiện hành động để cập nhật điểm cuối của mình, Amazon SageMaker sẽ phát hành thông báo trên Personal Health Dashboard của khách hàng. Những khách hàng muốn cập nhật điểm cuối sớm hơn có thể cập nhật thủ công từ bảng điều khiển Amazon SageMaker hoặc sử dụng hành động API UpdateEndpoint vào bất cứ lúc nào. Chúng tôi khuyến nghị những khách hàng có điểm cuối được bật chế độ tự động thay đổi quy mô nên thực hiện các biện pháp đề phòng bổ sung theo hướng dẫn tại đây.
AWS khuyến nghị những khách hàng đang chạy các bộ chứa Docker trong sổ ghi chép Amazon SageMaker nên dừng và khởi động các phiên bản sổ ghi chép Amazon SageMaker của mình để nhận được phần mềm có sẵn mới nhất. Có thể thực hiện thao tác này từ bảng điều khiển Amazon Sagemaker. Nếu không, trước tiên khách hàng có thể dừng phiên bản sổ ghi chép bằng cách sử dụng API StopNotebookInstance, rồi khởi động phiên bản sổ ghi chép bằng cách sử dụng API StartNotebookInstance.
AWS RoboMaker
Đã có phiên bản cập nhật của môi trường phát triển AWS Robomaker. Các môi trường phát triển mới sẽ sử dụng phiên bản mới nhất. Như một biện pháp tốt nhất về bảo mật chung, AWS khuyến nghị những khách hàng đang sử dụng môi trường phát triển RoboMaker cập nhật môi trường Cloud9 của mình lên phiên bản mới nhất.
Đã có phiên bản cập nhật của lõi AWS IoT GreenGrass. Tất cả các khách hàng đang sử dụng Quản lý danh mục RoboMaker nên nâng cấp lõi GreenGrass lên phiên bản 1.7.1. Bạn có thể xem hướng dẫn về cách nâng cấp qua kết nối không dây tại đây.
AWS Deep Learning AMI
Đã có các phiên bản cập nhật của Deep Learning Base AMI và Deep Learning AMI cho Amazon Linux và Ubuntu trên AWS Marketplace. AWS khuyến nghị những khách hàng đã sử dụng Docker với Deep Learning AMI hoặc Deep Learning Base AMI khởi chạy các phiên bản mới của phiên bản AMI mới nhất (v21.2 trở lên cho Deep Learning AMI trên Amazon Linux và Ubuntu, v16.2 trở lên cho Deep Learning Base AMI trên Amazon Linux và v15.2 trở lên cho Deep Learning Base AMI trên Ubuntu). Bạn có thể tìm thêm thông tin tại Trung tâm bảo mật Amazon Linux.