Bạn đang xem phiên bản cũ của bản tin bảo mật này. Để xem phiên bản mới nhất, vui lòng truy cập: "Sự cố bảo mật với bộ chứa (CVE-2019-5736)".
11/2/2019 7:00 SA PST
Mã định danh CVE: CVE-2019-5736
AWS đã biết về sự cố bảo mật được tiết lộ gần đây gây ảnh hưởng đến một số hệ thống quản lý bộ chứa mã nguồn mở (CVE-2019-5736). Khách hàng không cần thực hiện hành động nào để giải quyết những sự cố này, ngoại trừ các dịch vụ AWS được liệt kê dưới đây.
Amazon Linux
Đã có phiên bản cập nhật của Docker cho các kho lưu trữ Amazon Linux 2 (ALAS-2019-1156) và Amazon Linux AMI 2018.03 (ALAS-2019-1156). AWS khuyến nghị những khách hàng đang sử dụng Docker trong Amazon Linux nên khởi chạy các phiên bản mới từ phiên bản AMI mới nhất. Bạn có thể tìm thêm thông tin tại Trung tâm bảo mật Amazon Linux.
Amazon Elastic Container Service (Amazon ECS)
Bản cập nhật của các AMI được tối ưu hóa cho Amazon ECS, bao gồm Amazon Linux AMI, Amazon Linux 2 AMI và AMI được tối ưu hóa cho GPU sẽ ra mắt vào ngày 11/2/2019. Chúng tôi sẽ cập nhật bản tin này khi có các bản cập nhật AMI. Như một biện pháp tốt nhất về bảo mật chung, chúng tôi khuyến nghị khách hàng của ECS nên cập nhật cấu hình của mình để khởi chạy các phiên bản bộ chứa mới từ phiên bản AMI mới nhất. Khách hàng nên thay thế các phiên bản bộ chứa hiện có bằng phiên bản AMI mới để giải quyết sự cố được mô tả ở trên. Bạn có thể tìm thấy hướng dẫn về cách thực hiện những việc này trong tài liệu về ECS cho Amazon Linux AMI, Amazon Linux 2 AMI và AMI được tối ưu hóa cho GPU.
Những khách hàng của Linux không sử dụng AMI được tối ưu hóa cho ECS nên tham khảo ý kiến của nhà cung cấp hệ điều hành, phần mềm hoặc AMI thay thế/của bên thứ ba để nhận các bản cập nhật và hướng dẫn khi cần. Bạn có thể tìm thấy hướng dẫn về Amazon Linux trong Trung tâm bảo mật Amazon Linux.
Amazon Elastic Container Service for Kubernetes (Amazon EKS)
Bản cập nhật AMI được tối ưu hóa cho Amazon EKS sẽ ra mắt vào ngày 11/2/2019. Chúng tôi sẽ cập nhật bản tin này khi có các bản cập nhật AMI. Như một biện pháp tốt nhất về bảo mật chung, chúng tôi khuyến nghị khách hàng của EKS nên cập nhật cấu hình của mình để khởi chạy các nút thợ mới từ phiên bản AMI mới nhất. Khách hàng nên thay thế các nút thợ hiện có bằng phiên bản AMI mới để giải quyết sự cố được mô tả ở trên. Bạn có thể tìm thấy hướng dẫn về cách cập nhật các nút thợ trong tài liệu về EKS.
Những khách hàng của Linux không sử dụng AMI được tối ưu hóa cho EKS nên liên hệ với nhà cung cấp hệ điều hành của mình để có các bản cập nhật cần thiết nhằm giải quyết các sự cố này. Bạn có thể tìm thấy hướng dẫn về Amazon Linux trong Trung tâm bảo mật Amazon Linux.
AWS Fargate
Đã có phiên bản cập nhật của Fargate cho Phiên bản nền tảng 1.3 để giảm nhẹ các sự cố được mô tả trong CVE-2019-5736. Phiên bản vá lỗi của các Phiên bản nền tảng cũ (1.0.0, 1.1.0, 1.2.0) sẽ ra mắt vào ngày 15/3/2019.
Những khách hàng chạy Dịch vụ Fargate nên gọi UpdateService với "--force-new-deployment" được kích hoạt để khởi chạy tất cả các Tác vụ mới trên Phiên bản nền tảng 1.3 mới nhất. Những khách hàng đang chạy các tác vụ độc lập nên dừng các tác vụ hiện có và khởi chạy lại bằng phiên bản mới nhất. Bạn có thể xem hướng dẫn cụ thể trong tài liệu về việc cập nhật Fargate.
Tất cả các tác vụ không được nâng cấp lên phiên bản vá lỗi sẽ ngừng hoạt động vào ngày 19/4/2019. Những khách hàng sử dụng các tác vụ độc lập phải khởi chạy các tác vụ mới để thay thế các tác vụ đã ngừng hoạt động. Bạn có thể tìm thấy thông tin chi tiết bổ sung trong tài liệu Tác vụ ngừng hoạt động của Fargate.
AWS IoT Greengrass
Phiên bản cập nhật của lõi AWS IoT Greengrass sẽ ra mắt vào ngày 11/2/2019. Bản tin này sẽ được cập nhật khi có phiên bản vá lỗi. Các phiên bản cập nhật yêu cầu những tính năng có sẵn từ nhân Linux phiên bản 3.17 trở lên. Bạn có thể xem hướng dẫn về cách cập nhật nhân tại đây.
Như một biện pháp tốt nhất về bảo mật chung, chúng tôi khuyến nghị các khách hàng đang chạy bất kỳ phiên bản lõi Greengrass nào nâng cấp lên phiên bản 1.7.1. Bạn có thể xem hướng dẫn về cách cập nhật qua kết nối không dây tại đây.
AWS Batch
Bản cập nhật AMI được tối ưu hóa cho Amazon ECS sẽ ra mắt vào ngày 11/2/2019 dưới dạng AMI Môi trường điện toán mặc định. Bản tin này sẽ được cập nhật khi AMI ra mắt. Như một biện pháp tốt nhất về bảo mật chung, chúng tôi khuyến nghị khách hàng của Batch thay thế Môi trường điện toán hiện có bằng AMI có sẵn mới nhất. Nếu khách hàng của Batch cần cập nhật ngay, họ nên ghi đè AMI được tối ưu hóa cho ECS mới nhất lên AMI mặc định khi tạo một Môi trường điện toán. Bạn có thể tìm thấy hướng dẫn thay thế Môi trường điện toán trong tài liệu về sản phẩm Batch.
Những khách hàng của Batch không sử dụng AMI mặc định nên liên hệ với nhà cung cấp hệ điều hành của mình để nhận các bản cập nhật cần thiết nhằm giải quyết các sự cố này. Bạn có thể tìm thấy hướng dẫn về AMI tùy chỉnh cho Batch trong tài liệu về sản phẩm Batch.
AWS Elastic Beanstalk
Bản cập nhật nền tảng dựa trên Docker cho AWS Elastic Beanstalk sẽ ra mắt vào ngày 11/2/2019. Bản tin này sẽ được cập nhật khi có các phiên bản nền tảng mới. Những khách hàng sử dụng Cập nhật nền tảng được quản lý sẽ được tự động cập nhật lên phiên bản nền tảng mới nhất trong khoảng thời gian bảo trì đã chọn mà không cần thực hiện hành động nào khác. Khách hàng cũng có thể cập nhật ngay bằng cách truy cập trang cấu hình Cập nhật được quản lý và nhấp vào nút "Áp dụng ngay". Những khách hàng không bật Cập nhật nền tảng được quản lý có thể cập nhật phiên bản nền tảng của môi trường bằng cách làm theo hướng dẫn tại đây.
AWS Cloud9
Đã có phiên bản cập nhật của môi trường AWS Cloud9 trên Amazon Linux. Theo mặc định, các bản vá lỗi bảo mật sẽ được áp dụng cho khách hàng trong lần khởi động đầu tiên. Những khách hàng hiện đang có các môi trường AWS Cloud9 dựa trên EC2 nên khởi chạy các phiên bản mới từ phiên bản AWS Cloud9 mới nhất. Bạn có thể tìm thêm thông tin tại Trung tâm bảo mật Amazon Linux.
Những khách hàng của AWS Cloud9 sử dụng môi trường SSH không được xây dựng trên Amazon Linux nên liên hệ với nhà cung cấp hệ điều hành của mình để nhận các bản cập nhật cần thiết nhằm giải quyết các sự cố này.
AWS SageMaker
Đã có phiên bản cập nhật của Amazon Sagemaker. Những khách hàng sử dụng bộ chứa thuật toán mặc định hoặc bộ chứa framework của Amazon SageMaker để đào tạo, tinh chỉnh, chuyển đổi hàng loạt hoặc làm điểm cuối sẽ không bị ảnh hưởng. Những khách hàng đang chạy các tác vụ gắn nhãn hoặc biên dịch cũng không bị ảnh hưởng. Những khách hàng không sử dụng sổ ghi chép Amazon Sagemaker để chạy bộ chứa Docker không bị ảnh hưởng. Ngoài ra, mọi sổ ghi chép Amazon SageMaker khởi chạy từ ngày 11/2 trở đi với các phiên bản CPU sẽ bao gồm các bản cập nhật mới nhất và khách hàng không cần thực hiện hành động nào khác. Tất cả các tác vụ điểm cuối, gắn nhãn, đào tạo, tinh chỉnh, biên dịch và chuyển đổi hàng loạt được khởi chạy từ ngày 11/2 trở đi sẽ bao gồm bản cập nhật mới nhất và khách hàng không cần thực hiện hành động nào khác.
AWS khuyến nghị những khách hàng đang chạy các tác vụ đào tạo, tinh chỉnh và chuyển đổi hàng loạt với mã tùy chỉnh được tạo trước ngày 11/2 nên dừng và khởi động các tác vụ của mình để bao gồm bản cập nhật mới nhất. Có thể thực hiện những hành động này từ bảng điều khiển Amazon SageMaker hoặc làm theo hướng dẫn tại đây.
Amazon SageMaker tự động cập nhật tất cả các điểm cuối đang hoạt động lên phần mềm mới nhất sau mỗi bốn tuần. Tất cả các điểm cuối được tạo trước ngày 11/2 dự kiến sẽ được cập nhật vào ngày 11/3. Nếu có bất kỳ sự cố nào với các bản cập nhật tự động và khách hàng cần thực hiện hành động để cập nhật điểm cuối của mình, Amazon SageMaker sẽ phát hành thông báo trên Personal Health Dashboard của khách hàng. Những khách hàng muốn cập nhật điểm cuối sớm hơn có thể cập nhật thủ công từ bảng điều khiển Amazon SageMaker hoặc sử dụng hành động API UpdateEndpoint vào bất cứ lúc nào. Chúng tôi khuyến nghị những khách hàng có điểm cuối được bật chế độ tự động thay đổi quy mô nên thực hiện các biện pháp đề phòng bổ sung theo hướng dẫn tại đây.
AWS khuyến nghị những khách hàng đang chạy các bộ chứa Docker trong sổ ghi chép Amazon SageMaker với phiên bản CPU nên dừng và khởi động các phiên bản sổ ghi chép Amazon SageMaker của mình để nhận được phần mềm có sẵn mới nhất. Có thể thực hiện thao tác này từ bảng điều khiển Amazon Sagemaker. Nếu không, trước tiên khách hàng có thể dừng phiên bản sổ ghi chép bằng cách sử dụng API StopNotebookInstance, rồi khởi động phiên bản sổ ghi chép bằng cách sử dụng API StartNotebookInstance.
Phiên bản cập nhật của sổ ghi chép Amazon SageMaker với các phiên bản GPU sẽ có sẵn cho khách hàng ngay sau khi bản vá lỗi Nvidia được phát hành. Bản tin này sẽ được cập nhật khi có phiên bản cập nhật. Những khách hàng đang chạy bộ chứa Docker trên sổ ghi chép với các phiên bản GPU có thể thực hiện các hành động đề phòng bằng cách tạm thời dừng phiên bản sổ ghi chép của mình thông qua bảng điều khiển hoặc bằng API StopNotebookInstance rồi khởi động lại phiên bản sổ ghi chép bằng cách sử dụng StartNotebookInstance sau khi có phiên bản cập nhật.
AWS RoboMaker
Phiên bản cập nhật của môi trường phát triển AWS RoboMaker sẽ ra mắt ngay sau khi Canonical và Docker phát hành bản vá lỗi. Bản tin này sẽ được cập nhật khi có bản cập nhật. Như một biện pháp tốt nhất về bảo mật chung, AWS khuyến nghị những khách hàng đang sử dụng môi trường phát triển RoboMaker cập nhật môi trường Cloud9 của mình lên phiên bản mới nhất.
Phiên bản cập nhật của lõi AWS IoT Greengrass sẽ ra mắt vào ngày 11/2/2019. Bản tin này sẽ được cập nhật khi có phiên bản cập nhật. Tất cả các khách hàng sử dụng Quản lý danh mục RoboMaker nên nâng cấp lõi Greengrass lên phiên bản mới nhất sau khi có bản cập nhật của lõi Greengrass. Khách hàng nên thực hiện theo những hướng dẫn này để nhận bản cập nhật.
AWS Deep Learning AMI
AWS khuyến nghị những khách hàng đã sử dụng Docker với Deep Learning AMI hoặc Deep Learning Base AMI trên Amazon Linux nên khởi chạy các phiên bản mới của phiên bản AMI mới nhất và chạy lệnh sau để nâng cấp Docker:
sudo yum upgrade docker
Phiên bản cập nhật Deep Learning Base AMI và Deep Learning AMI sẽ có sẵn để tải xuống sau khi tất cả bản vá lỗi bảo mật có liên quan được phát hành. Bản tin này sẽ được cập nhật khi có các AMI mới.
Bạn có thể tìm thêm thông tin tại Trung tâm bảo mật Amazon Linux.
Sau khi bản cập nhật Docker trên Ubuntu dành cho các sự cố được nêu trong CVE-2019-5736 được phát hành, AWS khuyến nghị những khách hàng đã sử dụng Docker với Deep Learning AMI hoặc Deep Learning Base AMI trên Ubuntu nên khởi chạy các phiên bản mới của phiên bản AMI mới nhất và làm theo các hướng dẫn này để nâng cấp Docker (đảm bảo thực hiện theo tất cả các bước cài đặt):
https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository
AWS cũng khuyến nghị khách hàng theo dõi Bản tin bảo mật từ Nvidia để nhận các bản cập nhật lên nvidia-docker2 và các sản phẩm liên quan.