Bạn đang xem phiên bản cũ của bản tin bảo mật này. Để xem phiên bản mới nhất, vui lòng truy cập: “Sự cố bảo mật bộ chứa (CVE-2019-5736)”.

Ngày 11 tháng 2 năm 2019 12:00 CH PST

Mã định danh CVE: CVE-2019-5736

AWS đã biết về sự cố bảo mật được tiết lộ gần đây gây ảnh hưởng đến một số hệ thống quản lý bộ chứa mã nguồn mở (CVE-2019-5736). Ngoài các dịch vụ AWS được liệt kê bên dưới, khách hàng không cần thực hiện hành động nào để giải quyết sự cố này.

Amazon Linux

Đã có phiên bản Docker cập nhật cho các kho lưu trữ Amazon Linux 2 (ALAS-2019-1156) và Amazon Linux AMI 2018.03 (ALAS-2019-1156). AWS khuyến nghị khách hàng sử dụng Docker trong Amazon Linux nên khởi chạy phiên bản mới từ phiên bản AMI mới nhất. Bạn có thể tìm thêm thông tin tại Trung tâm bảo mật Amazon Linux.

Amazon Elastic Container Service (Amazon ECS)

Hiện đã có các AMI được tối ưu hóa cho Amazon ECS, trong đó bao gồm Amazon Linux AMI, Amazon Linux 2 AMIAMI được tối ưu hóa cho GPU. Chúng tôi khuyến nghị biện pháp tốt nhất về bảo mật chung là khách hàng sử dụng ECS nên cập nhật cấu hình của mình để khởi chạy các phiên bản bộ chứa mới từ phiên bản AMI mới nhất. Khách hàng nên thay thế các phiên bản bộ chứa hiện có bằng phiên bản AMI mới để giải quyết sự cố được mô tả ở trên. Bạn có thể tìm thấy hướng dẫn thay thế các phiên bản bộ chứa hiện có trong tài liệu về ECS cho Amazon Linux AMI, Amazon Linux 2 AMIAMI được tối ưu hóa cho GPU.

Khách hàng dùng Linux không sử dụng AMI được tối ưu hóa cho ECS nên tham khảo ý kiến của nhà cung cấp hệ điều hành, phần mềm hoặc AMI của mình để có các bản cập nhật và hướng dẫn khi cần. Bạn có thể tìm thấy hướng dẫn về Amazon Linux trên Trung tâm bảo mật Amazon Linux.

Amazon Elastic Container Service for Kubernetes (Amazon EKS)

Đã có bản cập nhật AMI được tối ưu hóa cho Amazon EKS trên AWS Marketplace. Chúng tôi khuyến nghị biện pháp tốt nhất về bảo mật chung là khách hàng sử dụng EKS nên cập nhật cấu hình của mình để khởi chạy các nút thợ mới từ phiên bản AMI mới nhất. Khách hàng nên thay thế các nút thợ hiện có bằng phiên bản AMI mới để giải quyết sự cố được mô tả ở trên. Bạn có thể tìm thấy hướng dẫn về cách cập nhật các nút thợ trong tài liệu về EKS.

Những khách hàng dùng Linux không sử dụng AMI được tối ưu hóa cho EKS nên liên hệ với nhà cung cấp hệ điều hành của mình để có các bản cập nhật cần thiết nhằm giải quyết các sự cố này. Bạn có thể tìm thấy hướng dẫn về Amazon Linux trên Trung tâm bảo mật Amazon Linux.

AWS Fargate

Đã có phiên bản cập nhật của Fargate cho Phiên bản nền tảng 1.3 để khắc phục phần nào các sự cố được mô tả trong CVE-2019-5736. Phiên bản vá lỗi của các Phiên bản nền tảng cũ (1.0.0, 1.1.0, 1.2.0) sẽ ra mắt vào ngày 15/3/2019.

Khách hàng đang chạy Dịch vụ Fargate nên gọi đến UpdateService và bật "--force-new-deployment" để khởi chạy tất cả các Tác vụ mới trên Phiên bản nền tảng 1.3 mới nhất. Khách hàng đang chạy các tác vụ độc lập nên chấm dứt các tác vụ hiện có và khởi chạy lại bằng phiên bản mới nhất. Bạn có thể xem hướng dẫn cụ thể trong tài liệu về việc cập nhật Fargate.

Tất cả các tác vụ không được nâng cấp lên phiên bản vá lỗi sẽ ngừng hoạt động vào ngày 19/4/2019. Khách hàng sử dụng các tác vụ độc lập phải khởi chạy các tác vụ mới để thay thế các tác vụ đã ngừng hoạt động. Bạn có thể tìm thêm thông tin chi tiết trong tài liệu về việc Dừng tác vụ của Fargate.

AWS IoT Greengrass

Đã có phiên bản cập nhật của lõi AWS IoT GreenGrass cho phiên bản 1.7.1 và 1.6.1. Các phiên bản cập nhật yêu cầu những tính năng có sẵn trong nhân Linux phiên bản 3.17 trở lên. Bạn có thể xem hướng dẫn về cách cập nhật nhân tại đây.

Chúng tôi khuyến nghị biện pháp tốt nhất về bảo mật chung là khách hàng đang chạy bất kỳ phiên bản lõi GreenGrass nào cũng nên nâng cấp lên phiên bản 1.7.1. Bạn có thể xem hướng dẫn về cách cập nhật qua kết nối không dây tại đây.

AWS Batch

Đã có bản cập nhật AMI được tối ưu hóa cho Amazon ECS dưới dạng AMI cho Môi trường điện toán mặc định. Chúng tôi khuyến nghị biện pháp tốt nhất về bảo mật chung là khách hàng đang sử dụng Batch nên thay thế Môi trường điện toán hiện có bằng AMI có sẵn mới nhất. Hướng dẫn thay thế Môi trường điện toán có trong tài liệu về sản phẩm Batch.

Những khách hàng dùng Batch không sử dụng AMI mặc định nên liên hệ với nhà cung cấp hệ điều hành của mình để có các bản cập nhật cần thiết nhằm giải quyết những sự cố này. Hướng dẫn về AMI tùy chỉnh cho Batch có trong tài liệu về sản phẩm Batch.

AWS Elastic Beanstalk

Hiện đã có các phiên bản cập nhật nền tảng dựa trên Docker cho AWS Elastic Beanstalk. Khách hàng sử dụng Bản cập nhật nền tảng được quản lý sẽ được tự động cập nhật lên phiên bản nền tảng mới nhất trong khoảng thời gian bảo trì đã chọn mà không cần thực hiện hành động nào. Khách hàng cũng có thể cập nhật ngay bằng cách truy cập trang cấu hình Bản cập nhật được quản lý và nhấp vào nút "Áp dụng ngay". Khách hàng không bật Bản cập nhật nền tảng được quản lý có thể cập nhật phiên bản nền tảng của môi trường theo hướng dẫn tại đây.

AWS Cloud9

Đã có phiên bản cập nhật của môi trường AWS Cloud9 trên Amazon Linux. Theo mặc định, khách hàng sẽ được áp dụng các bản vá bảo mật trong lần khởi động đầu tiên. Khách hàng hiện đang có các môi trường AWS Cloud9 dựa trên EC2 nên khởi chạy các phiên bản mới từ phiên bản AWS Cloud9 mới nhất. Bạn có thể tìm thêm thông tin tại Trung tâm bảo mật Amazon Linux.

Khách hàng dùng AWS Cloud9 sử dụng môi trường SSH không được xây dựng trên Amazon Linux nên liên hệ với nhà cung cấp hệ điều hành của mình để có các bản cập nhật cần thiết nhằm giải quyết những sự cố này.

AWS SageMaker

Đã có phiên bản cập nhật của Amazon SageMaker. Khách hàng sử dụng bộ chứa thuật toán mặc định hoặc bộ chứa framework của Amazon SageMaker để đào tạo, tinh chỉnh, chuyển đổi hàng loạt hoặc cho điểm cuối sẽ không bị ảnh hưởng. Khách hàng đang chạy các tác vụ gắn nhãn hoặc biên dịch cũng không bị ảnh hưởng. Khách hàng không sử dụng sổ chi chép Amazon SageMaker để chạy bộ chứa Docker không bị ảnh hưởng. Ngoài ra, mọi sổ ghi chép Amazon SageMaker khởi chạy từ ngày 11/2 trở đi với các phiên bản CPU sẽ bao gồm các bản cập nhật mới nhất và khách hàng không cần thực hiện hành động nào. Tất cả các tác vụ điểm cuối, gắn nhãn, đào tạo, tinh chỉnh, biên dịch và chuyển đổi hàng loạt khởi chạy từ ngày 11/2 trở đi sẽ bao gồm bản cập nhật mới nhất và khách hàng không cần thực hiện hành động nào.

AWS khuyến nghị khách hàng đang chạy các tác vụ đào tạo, tinh chỉnh và chuyển đổi hàng loạt với mã tùy chỉnh tạo trước ngày 11/2 nên dừng và bắt đầu lại các tác vụ của mình để bao gồm bản cập nhật mới nhất. Khách hàng có thể thực hiện những hành động này từ bảng điều khiển Amazon SageMaker hoặc theo hướng dẫn tại đây.

Amazon SageMaker tự động cập nhật tất cả các điểm cuối đang hoạt động lên phần mềm mới nhất bốn tuần một lần. Tất cả các điểm cuối được tạo trước ngày 11/2 dự kiến sẽ được cập nhật vào ngày 11/3. Nếu có bất kỳ sự cố nào với các bản cập nhật tự động và khách hàng được yêu cầu thực hiện hành động để cập nhật điểm cuối của mình, Amazon SageMaker sẽ đăng thông báo trên Personal Health Dashboard của khách hàng. Khách hàng muốn cập nhật điểm cuối sớm hơn có thể cập nhật thủ công điểm cuối của mình từ bảng điều khiển Amazon SageMaker hoặc bằng hành động API UpdateEndpoint vào bất cứ lúc nào. Chúng tôi khuyến nghị khách hàng có các điểm cuối bật chế độ tự động thay đổi quy mô nên thực hiện các biện pháp đề phòng bổ sung theo hướng dẫn tại đây.

AWS khuyến nghị những khách hàng đang chạy các bộ chứa Docker trong sổ ghi chép Amazon SageMaker với phiên bản CPU nên dừng và khởi động trở lại các phiên bản sổ ghi chép Amazon SageMaker của mình để nhận được phần mềm có sẵn mới nhất. Việc này có thể được thực hiện từ bảng điều khiển Amazon SageMaker. Ngoài ra, khách hàng có thể dừng phiên bản sổ ghi chép bằng API StopNotebookInstance, rồi khởi động phiên bản sổ ghi chép bằng API StartNotebookInstance.

Phiên bản cập nhật sổ ghi chép Amazon SageMaker có các phiên bản GPU sẽ sớm ra mắt cho khách hàng ngay sau khi các bản vá Nvidia được phát hành. Chúng tôi sẽ cập nhật bản tin này khi có phiên bản cập nhật. Khách hàng đang chạy bộ chứa Docker trên sổ ghi chép có các phiên bản GPU có thể thực hiện các hành động phòng ngừa bằng cách tạm thời dừng các phiên bản sổ ghi chép thông qua bảng điều khiển hoặc bằng API StopNotebookInstance, rồi khởi động phiên bản sổ ghi chép bằng StartNotebookInstance sau khi có phiên bản cập nhật.

AWS RoboMaker

Phiên bản cập nhật của môi trường phát triển AWS RoboMaker sẽ ra mắt ngay sau khi Canonical và Docker phát hành bản vá. Chúng tôi sẽ cập nhật bản tin này khi có phiên bản cập nhật. AWS khuyến nghị biện pháp tốt nhất về bảo mật chung là khách hàng đang sử dụng môi trường phát triển RoboMaker nên cập nhật môi trường Cloud9 của mình lên phiên bản mới nhất.

Phiên bản cập nhật của lõi AWS IoT Greengrass sẽ ra mắt vào ngày 11 tháng 2 năm 2019. Chúng tôi sẽ cập nhật bản tin này khi có phiên bản cập nhật. Mọi khách hàng sử dụng dịch vụ Quản lý nhóm của RoboMaker nên nâng cấp lõi Greengrass lên phiên bản mới nhất sau khi lõi Greengrass ra mắt. Khách hàng nên tuân theo những hướng dẫn này để nhận bản cập nhật.

AMI Deep Learning của AWS

Đã có các phiên bản cập nhật của AMI Base Deep Learning và AMI Deep Learning cho Amazon Linux trong AWS Marketplace. AWS khuyến nghị khách hàng đã sử dụng Docker với AMI Deep Learning hoặc AMI Base Deep Learning khởi chạy các phiên bản mới của phiên bản AMI mới nhất (phiên bản 21.1 cho AMI Deep Learning và 16.1 cho AMI Base Deep Learning trên Amazon Linux). Bạn có thể tìm thêm thông tin tại Trung tâm bảo mật Amazon Linux.

AWS khuyến nghị khách hàng đã sử dụng Docker với AMI Deep Learning hoặc AMI Base Deep Learning trên Ubuntu nên khởi chạy các phiên bản mới của phiên bản AMI mới nhất và làm theo các hướng dẫn này để nâng cấp Docker (cần làm theo tất cả các bước cài đặt).

https://docs.docker.com/install/linux/docker-ce/ubuntu/#install-using-the-repository

Bản cập nhật AMI Base Deep Learning và AMI Deep Learning cho Ubuntu sẽ có thể tải xuống sau khi tất cả các bản vá bảo mật liên quan được phát hành. Chúng tôi sẽ cập nhật bản tin này khi có AMI cập nhật.

AWS cũng khuyến nghị khách hàng theo dõi Bản tin bảo mật của Nvidia để biết các bản cập nhật lên nvidia-docker2 và các sản phẩm liên quan.