13 февраля 2019, 21:00 по тихоокеанскому стандартному времени
Идентификатор CVE: CVE-2019-5736
В AWS стало известно о недавно выявленной проблеме безопасности, влияющей на несколько систем управления контейнерами с открытым исходным кодом (CVE-2019-5736). За исключением сервисов AWS, указанных ниже, для решения этой проблемы клиентам не нужно выполнять никаких действий.
HAQM Linux
Обновленная версия Docker (docker-18.06.1ce-7.amzn2) доступна для дополнительных репозиториев HAQM Linux 2 и репозиториев HAQM Linux AMI 2018.03 (ALAS-2019-1156). AWS рекомендует клиентам, использующим Docker в HAQM Linux, запустить новые инстансы из AMI новейшей версии. Дополнительные сведения представлены в Центре безопасности HAQM Linux.
HAQM Elastic Container Service (HAQM ECS)
Сейчас доступны образы AMI, оптимизированные для HAQM ECS, в частности AMI HAQM Linux, AMI HAQM Linux 2 и AMI, оптимизированный под графический процессор. В качестве общей меры безопасности мы рекомендуем пользователям ECS обновить свои конфигурации и запустить новые инстансы контейнера из AMI последней версии. Клиенты должны заменить существующие инстансы контейнера новой версией AMI для устранения вышеописанной проблемы. Инструкции по замене существующих инстансов контейнеров представлены в документации ECS для AMI HAQM Linux, AMI HAQM Linux 2 и образа AMI, оптимизированного под графический процессор.
Пользователям Linux, не использующим оптимизированный образ AMI ECS, рекомендуется проконсультироваться с поставщиком операционной системы, ПО или AMI, чтобы получить необходимые обновления и инструкции. Инструкции для HAQM Linux доступны в Центре безопасности HAQM Linux.
HAQM Elastic Container Service for Kubernetes (HAQM EKS)
Обновленный образ AMI, оптимизированный для HAQM EKS, доступен в AWS Marketplace. В качестве общей меры безопасности мы рекомендуем пользователям EKS обновить свои конфигурации и запустить новые рабочие узлы из AMI последней версии. Клиенты должны заменить существующие рабочие узлы новой версией AMI для устранения вышеописанной проблемы. Инструкции по обновлению рабочих узлов представлены в документации EKS.
Пользователям Linux, которые не работают с образом AMI, оптимизированным для EKS, необходимо обратиться к поставщику операционной системы за обновлениями, чтобы устранить эти проблемы. Инструкции для HAQM Linux доступны в Центре безопасности HAQM Linux.
AWS Fargate
Обновленная версия Fargate доступна для версии платформы 1.3, в которой частично устранены проблемы, описанные в CVE-2019-5736. Исправления более старых версий платформы (1.0.0, 1.1.0, 1.2.0) будут предоставлены не позднее 15 марта 2019 г.
Клиенты, у которых работают сервисы Fargate, должны вызвать UpdateService с включенным параметром «--force-new-deployment», чтобы запустить все новые задачи на платформе последней версии 1.3. Клиенты, у которых выполняются автономные задачи, должны остановить существующие задачи и перезапустить их в последней версии Fargate. Более подробные инструкции представлены в документации по обновлению Fargate.
Все задачи, не обновленные до исправленной версии, перестанут поддерживаться до 19 апреля 2019 г. Пользователи, которые работают с автономными задачами, должны запустить новые задачи вместо устаревших. Дополнительные сведения представлены в документации по прекращению поддержки задач Fargate.
AWS IoT Greengrass
Для 1.7.1 и 1.6.1 доступны обновленные версии ядра AWS IoT GreenGrass. Для обновленных версий требуются функции, доступные в ядре Linux версии 3.17 или более поздней. Инструкции по обновлению ядра представлены здесь.
В качестве общей меры безопасности мы рекомендуем клиентам, использующим любую версию ядра GreenGrass, выполнить обновление до версии 1.7.1. Инструкции по беспроводному обновлению представлены здесь.
AWS Batch
Обновленный образ AMI, оптимизированный для HAQM ECS, доступен как AMI вычислительной среды по умолчанию. В качестве общей меры безопасности мы рекомендуем пользователям Batch заменить существующие вычислительные среды на новейший доступный образ AMI. Инструкции по замене вычислительной среды представлены в документации на продукт Batch.
Пользователям Batch, которые не работают с образом AMI по умолчанию, необходимо обратиться к поставщику операционной системы за обновлениями, чтобы устранить эти проблемы. Инструкции по созданию собственного образа AMI для Batch представлены в документации на продукт Batch.
AWS Elastic Beanstalk
Доступны обновленные версии платформы AWS Elastic Beanstalk на основе Docker. Для клиентов, использующих управляемые обновления платформы, в следующий запланированный период обслуживания новая версия платформы установится автоматически. Дополнительные действия не требуются. Чтобы обновить платформу немедленно, клиенты могут также перейти на страницу управляемых обновлений и нажать кнопку Apply Now. Пользователи, у которых не настроены управляемые обновления по умолчанию, могут обновить версию платформы, следуя инструкциям на этой странице.
AWS Cloud9
Доступна обновленная версия среды AWS Cloud9 с HAQM Linux. По умолчанию у клиентов будут применены исправления безопасности при первой загрузке. Клиенты, у которых есть среды AWS Cloud9 на основе EC2, должны запустить новые инстансы из последней версии AWS Cloud9. Дополнительные сведения представлены в Центре безопасности HAQM Linux.
Пользователям AWS Cloud9, которые работают со средами SSH, созданными без HAQM Linux, необходимо обратиться к поставщику операционной системы за обновлениями, чтобы устранить эти проблемы.
AWS SageMaker
Доступна обновленная версия HAQM SageMaker. Это не касается клиентов, использующих контейнеры алгоритмов HAQM SageMaker по умолчанию или контейнеры платформы для обучения, настройки, пакетного преобразования или адресов. Это также не касается клиентов, выполняющих задания по маркировке или компиляции. Не касается это и клиентов, не использующих блокноты HAQM SageMaker для работы с контейнерами Docker. Все задания для адресов, маркировки, обучения, настройки, компиляции и пакетной трансформации, запущенные 11 февраля или позже, включают в себя последнее обновление. Действия со стороны клиента не требуются. Все блокноты HAQM SageMaker, запущенные 11 февраля или позже с инстансами ЦП, а также все блокноты HAQM SageMaker, запущенные в 18:00 по тихоокеанскому времени 13 февраля или позже с инстансами графических процессоров, включают последние обновления. Действия со стороны клиента не требуются.
AWS рекомендует клиентам, выполняющим задания по обучению, настройке и пакетной трансформации с пользовательским кодом, созданным до 11 февраля, остановить и затем запустить свои задания, чтобы включить последнее обновление. Эти действия можно выполнить с консоли HAQM SageMaker или следуя инструкциям, приведенным здесь.
Раз в четыре недели HAQM SageMaker автоматически обновляет все используемые адреса, применяя новейшее программное обеспечение. Ожидается, что все адреса, созданные до 11 февраля, будут обновлены до 11 марта. Если возникнут проблемы с автоматическими обновлениями и клиентам понадобится обновить свои адреса, HAQM SageMaker опубликует оповещение на пользовательской панели Personal Health Dashboard. Клиенты, желающие быстрее обновить свои адреса, могут сделать это вручную с консоли HAQM SageMaker или с помощью действия API UpdateEndpoint в любой момент. Мы рекомендуем клиентам, у которых есть адреса с включенным автоматическим масштабированием, принять дополнительные меры предосторожности, выполнив инструкции, приведенные здесь.
AWS рекомендует клиентам, у которых работают контейнеры Docker в блокнотах HAQM SageMaker, остановить и снова запустить свои инстансы блокнотов HAQM SageMaker, чтобы получить новейшее доступное программное обеспечение. Для этого можно воспользоваться консолью HAQM SageMaker. Клиенты могут также сначала остановить инстанс блокнота с помощью API StopNotebookInstance и затем запустить его с помощью API StartNotebookInstance.
AWS RoboMaker
Доступна обновленная версия среды разработки AWS RoboMaker. В новых средах разработки будет использоваться последняя версия. В качестве общей меры безопасности AWS рекомендует клиентам, использующим среды разработки RoboMaker, регулярно обновлять свои среды Cloud9 до последней версии.
Доступна обновленная версия ядра AWS IoT GreenGrass. Все клиенты, использующие RoboMaker Fleet Management, должны обновить ядро GreenGrass до версии 1.7.1. Инструкции по беспроводному обновлению представлены здесь.
AWS Deep Learning AMI
Обновленные версии Deep Learning Base AMI и Deep Learning AMI для HAQM Linux и Ubuntu доступны в AWS Marketplace. AWS рекомендует клиентам, использующим Docker с Deep Learning AMI или Deep Learning Base AMI, запустить новые инстансы последней версии AMI (21.2 или более позднюю для Deep Learning AMI на HAQM Linux и Ubuntu, 16.2 или более позднюю для Deep Learning Base AMI на HAQM Linux и 15.2 или более позднюю для Deep Learning Base AMI на Ubuntu). Дополнительные сведения представлены в Центре безопасности HAQM Linux.