Mã định danh CVE: CVE-2020-8558

Đây là thông tin cập nhật về sự cố này.

AWS đã để ý đến một sự cố bảo mật mà cộng đồng Kubernetes vừa mới phát hiện, gây ảnh hưởng đến kết nối mạng của bộ chứa Linux (CVE-2020-8558). Khi sự cố này xảy ra, các bộ chứa chạy trên cùng một máy chủ hoặc trên các máy chủ liền kề (tức là các máy chủ thuộc cùng mạng LAN hoặc miền lớp 2) có thể truy cập các dịch vụ TCP và UDP gắn với máy chủ cục bộ (127.0.0.1).

Mọi biện pháp kiểm soát bảo mật của AWS nhằm duy trì sự cô lập giữa các khách hàng trong Amazon ECS và Amazon EKS sẽ vẫn hoạt động bình thường. Sự cố này không gây rủi ro đối với quyền truy cập dữ liệu liên tài khoản. Các quá trình xử lý trong bộ chứa trên một máy chủ có thể nhận được quyền truy cập mạng không mong muốn đến các bộ nhớ khác trên cùng máy chủ đó hoặc trên những máy chủ khác trong cùng VPC và mạng con. Khách hàng cần chú ý và có thể làm theo các bước để khắc phục ngay, có tại https://github.com/aws/containers-roadmap/issues/976. Tất cả khách hàng Amazon ECS và Amazon EKS nên cập nhật lên AMI mới nhất.

AWS Fargate
AWS Fargate không bị ảnh hưởng. Khách hàng sẽ không phải thực hiện hành động nào.

Amazon Elastic Container Service (Amazon ECS)
AMI cập nhật, tối ưu hóa cho Amazon ECS đã ra mắt. Như một biện pháp bảo mật chung tốt nhất, khách hàng ECS nên cập nhật cấu hình của mình để khởi chạy các phiên bản bộ chứa mới từ phiên bản AMI mới nhất.

Khách hàng có thể nâng cấp AMI bằng cách tham khảo tài liệu về ECS.

Amazon Elastic Kubernetes Service (Amazon EKS)
AMI cập nhật, tối ưu hóa cho Amazon EKS đã ra mắt. Như một biện pháp bảo mật chung tốt nhất, khách hàng EKS nên cập nhật cấu hình của mình để khởi chạy các nút worker mới từ phiên bản AMI mới nhất.

Nếu đang dùng các nhóm nút Có quản lý, khách hàng có thể quản lý nhóm nút của mình bằng cách tham khảo tài liệu về EKS. Các nút thợ tự quản lý của khách hàng nên thay phiên bản hiện tại bằng phiên bản AMI mới, bằng cách tham khảo tài liệu về EKS

Mã định danh CVE: CVE-2020-8558

Bạn đang xem phiên bản cũ của bản tin bảo mật này.

AWS đã để ý đến một sự cố bảo mật mà cộng đồng Kubernetes vừa mới phát hiện, gây ảnh hưởng đến kết nối mạng của bộ chứa Linux (CVE-2020-8558). Khi sự cố này xảy ra, các bộ chứa chạy trên cùng một máy chủ hoặc trên các máy chủ liền kề (tức là các máy chủ thuộc cùng mạng LAN hoặc miền lớp 2) có thể truy cập các dịch vụ TCP và UDP gắn với máy chủ cục bộ (127.0.0.1).

AWS Fargate không bị ảnh hưởng. Khách hàng sẽ không phải thực hiện hành động nào.

Mọi biện pháp kiểm soát bảo mật của AWS nhằm duy trì sự cô lập giữa các khách hàng trong Amazon ECS và Amazon EKS sẽ vẫn hoạt động bình thường. Sự cố này không gây rủi ro đối với quyền truy cập dữ liệu liên tài khoản. Các quá trình xử lý trong bộ chứa trên một máy chủ có thể nhận được quyền truy cập mạng không mong muốn đến các bộ nhớ khác trên cùng máy chủ đó hoặc trên những máy chủ khác trong cùng VPC và mạng con. Khách hàng cần chú ý và có thể làm theo các bước để khắc phục ngay, có tại https://github.com/aws/containers-roadmap/issues/976

Chúng tôi sẽ phát hành Amazon Machine Images cập nhật cho cả Amazon ECS và Amazon EKS. Khách hàng nên cập nhật những AMI này ngay khi chúng ra mắt.

AWS Fargate
AWS Fargate không bị ảnh hưởng. Khách hàng sẽ không phải thực hiện hành động nào.

Amazon Elastic Container Service (Amazon ECS)
Amazon ECS sẽ phát hành các AMI cập nhật, tối ưu hóa cho ECS, bao gồm AMI Amazon Linux, AMI Amazon Linux 2, AMI tối ưu hóa cho GPU, AMI tối ưu hóa cho ARM và AMI tối ưu hóa cho Inferentia vào ngày 9 tháng 7 năm 2020. Việc cập nhật và sử dụng một trong các AMI này sẽ khắc phục được sự cố. Chúng tôi sẽ cập nhật bản tin này khi các AMI cập nhật ra mắt.

Amazon Elastic Kubernetes Service (Amazon EKS)
Amazon EKS sẽ phát hành các AMI cập nhật, tối ưu hóa cho EKS, bao gồm AMI tối ưu hóa cho EKS Amazon Linux 2 và AMI tăng tốc tối ưu hóa cho EKS dành cho Kubernetes 1.14, 1.15, và 1.16 vào ngày 9 tháng 7 năm 2020. Việc cập nhật và sử dụng một trong các AMI này sẽ khắc phục được sự cố. Chúng tôi sẽ cập nhật bản tin này khi các AMI cập nhật ra mắt.