発行日: 2024 年 1 月 31 日 午後 1 時 30 分 (PST)
CVE 識別子: CVE-2024-21626
AWS では、最近明らかになったセキュリティ問題について認識しています。本問題は一部のオープンソースのコンテナ管理システムの runC コンポーネントに影響します (CVE-2024-21626)。以下の AWS サービスを除き、この問題に対処するためにお客様側で必要な対応はありません。
HAQM Linux
runC の更新バージョンは、HAQM Linux 1 (runc-1.1.11-1.0.amzn1)、HAQM Linux 2 (runc-1.1.11-1.amzn2)、HAQM Linux 2023 (runc-1.1.11-1.amzn2023) でご利用いただけます。runC または他のコンテナ関連ソフトウェアを使用するお客様に対し、AWS ではこれらの更新または新しいバージョンの適用を推奨しています。詳細については、HAQM Linux Security Center を参照してください。
Bottlerocket OS
runC の更新バージョンは、2024 年 2 月 2 日までにリリース予定の Bottlerocket 1.19.0 に含まれる予定です。AWS は、Bottlerocket をご利用のお客様に対し、この更新または新しいバージョンの適用を推奨しています。詳細については、Bottlerocket の Security Advisories および Bottlerocket のリリースノートに掲載される予定です。
HAQM Elastic Container Service (ECS)
この CVE は runC でパッチ適用されており、runC の更新バージョンであるバージョン 1.1.11-1 は、2024 年 1 月 31 日にリリースされた最新の HAQM ECS 最適化 HAQM マシンイメージ (AMI) の一部としてご利用いただけます。
ECS のお客様には、これらの AMI (もしくは利用可能な最新の AMI) に更新するか、または「yum update —security」を実行してこのパッチを入手することをお勧めします。追加情報については、「HAQM ECS に最適化された AMI」ユーザーガイドをご覧ください。
HAQM Elastic Kubernetes Services (EKS)
HAQM EKS は、パッチが適用されたコンテナランタイムを含む、更新された EKS 最適化 HAQM マシンイメージ (AMI) のバージョン v20240129 をリリースしました。マネージド型ノードグループを使用しているお客様は、ノードグループのアップグレードが可能です。EKS ドキュメントをご参照ください。Karpenter を使用しているお客様は、ノードの更新が可能です。Driftまたは AMI の選択に関するドキュメントをご覧ください。セルフマネージド型のワーカーノードを使用しているお客様は、既存ノードの置換が可能です。EKS ドキュメントをご参照ください。
HAQM EKS Fargate では、2024 年 2 月 1 日までにクラスター上の新しいポッド向けの更新が利用可能になり、末尾が eks-680e576 の Kubelet バージョンが表示される予定です。kubectl get nodes を実行すると、ノードのバージョンを確認できます。2024 年 2 月 2 日以降にパッチを受け取るには、既存のポッドを削除する必要があります。Fargate ポッドの削除および作成方法については、「HAQM EKS を使用した AWS Fargate の使用開始」のドキュメントをご覧ください。
HAQM EKS Anywhere が、パッチが適用されたコンテナランタイムを含む更新済みイメージバージョン v0.18.6 をリリースしました。クラスターをアップグレードして、パッチが適用された VM イメージを使用する方法については、EKS Anywhere の「Upgrade cluster」ドキュメントを参照してください。
AWS Elastic Beanstalk
AWS Elastic Beanstalk の更新済みの Docker および ECS ベースのプラットフォームバージョンがご利用いただけます。マネージドプラットフォーム更新を使用している場合は、選択したメンテナンスウィンドウで最新のプラットフォームバージョンに自動的に更新されます。お客様側で必要な対応はありません。直ちに更新を行う場合は、マネージド更新の設定ページにアクセスし、[今すぐ適用] ボタンをクリックしてください。マネージドプラットフォーム更新を有効にしていないお客様は、ご利用の環境のプラットフォームバージョンの更新が可能です。「Elastic Beanstalk 環境のプラットフォームバージョンの更新」ユーザーガイドをご覧ください。
Finch
runC の更新バージョンは、最新リリースの v1.1.0 の Finch でご利用いただけます。この問題に対処するには、macOS にインストールされている Finch をアップグレードする必要があります。Finch のリリースは、プロジェクトの GitHub リリースページからダウンロードできます。Homebrew 経由で Finch をインストールした場合は「brew update」を実行してください。
AWS 深層学習 AMI
影響を受ける runC パッケージは、HAQM Linux 2 深層学習 AMI の一部です。この runC パッケージは、HAQM Linux 2 のアップストリームリリースから取得されたものです。深層学習 AMI は、パッチが適用された最新のパッケージを、HAQM Linux チームからの提供が開始された段階で自動的に使用します。リリース後、影響を受けるお客様は、問題を軽減するために、最新の深層学習 AMI を取得して最新の runC の更新を使用する必要があります。
AWS Batch
デフォルトのコンピューティング環境 AMI として、更新された HAQM ECS 最適化 AMI をご利用いただけます。セキュリティの一般的なベストプラクティスとして、Batch をお使いのお客様は、既存のコンピューティング環境を最新の AMI に置き換えることをお勧めします。コンピューティング環境の置き換えに関する手順については、「Batch の製品ドキュメント」をご覧ください。
デフォルトの AMI を使用していない Batch のお客様は、これらの問題に対処するために必要な更新について、オペレーティングシステムのベンダーまでお問い合わせください。Batch のカスタム AMI に関する手順については、「Batch の製品ドキュメント」をご覧ください。
HAQM SageMaker
2024 年 2 月 2 日以降に作成または再起動されたすべての SageMaker リソース (SageMaker ノートブックインスタンス、SageMaker トレーニングジョブ、SageMaker 処理ジョブ、SageMaker バッチ変換ジョブ、SageMaker Studio、SageMaker 推論など) は、自動的にパッチを使用します。SageMaker 推論の場合、再作成されなかったライブエンドポイントには 2024 年 2 月 7 日までにパッチが自動的に適用されます。
セキュリティ関連の質問または懸念事項については、aws-security@haqm.com までお問い合わせください。