13 Şubat 2019 21:00 PST
CVE Tanımlayıcısı: CVE-2019-5736
AWS birçok açık kaynak container yönetim sistemini (CVE-2019-5736) etkileyen son zamanlarda açıklanmış güvenlik sorununun farkındadır. Aşağıda listelenen AWS hizmetleri dışında, bu sorunun giderilmesi için müşterinin bir işlem yapmasına gerek yoktur.
HAQM Linux
HAQM Linux 2 ekstralar depoları ve HAQM Linux AMI 2018.03 depoları (ALAS-2019-1156) için Docker’ın güncellenmiş bir sürümü (docker-18.06.1ce-7.amzn2) sunulmaktadır. AWS, HAQM Linux’ta Docker kullanan müşterilerine son AMI sürümünden yeni bulut sunucuları başlatmalarını öneriyor. Daha fazla bilgi HAQM Linux Güvenlik Merkezi’nde mevcuttur.
HAQM Elastik Konteyner Servisi (HAQM ECS )
HAQM Linux AMI, HAQM Linux 2 AMI ve GPU için optimize edilmiş AMI dahil olmak üzere HAQM ECS için Optimize Edilmiş AMI’ler sunulmaktadır. En iyi genel güvenlik uygulaması olarak ECS müşterilerine en son AMI sürümünden yeni container bulut sunucularını başlatmaları için yapılandırmalarını güncellemelerini öneriyoruz. Müşteriler yukarıda açıklanan sorunu ele almak için mevcut container bulut sunucularını yeni AMI sürümü ile değiştirmelidir. HAQM Linux AMI, HAQM Linux 2 AMI ve GPU için Optimize Edilmiş AMI için mevcut container bulut sunucularını değiştirme talimatları ECS belgelerinde bulunabilir.
ECS için Optimize Edilmiş AMI kullanmayan Linux müşterilerinin, gerektiği şekilde güncelleştirmeler ve talimatlar için işletim sistemi, yazılım veya AMI üreticilerine danışması önerilir. HAQM Linux hakkındaki talimatlar HAQM Linux Güvenlik Merkezi içerisinde yer almaktadır.
HAQM Elastic Container Service for Kubernetes (HAQM EKS)
Güncellenmiş bir HAQM EKS için Optimize Edilmiş AMI, AWS Marketplace’de sunulmaktadır. En iyi genel güvenlik uygulaması olarak ECS müşterilerine en son AMI sürümünden, yeni çalışan düğümlerini başlatmaları için yapılandırmalarını güncellemelerini öneriyoruz. Müşteriler yukarıda açıklanan sorunu ele almak için mevcut çalışan düğümlerini yeni AMI sürümü ile değiştirmelidir. Çalışan düğümlerinin güncellenmesine yönelik talimatlar EKS belgelerinde bulunabilir.
EKS için Optimize Edilmiş AMI kullanmayan Linux müşterileri, bu sorunların ele alınması için gerekli güncellemeleri edinmek amacıyla kendi işletim sistemi üreticileri ile iletişime geçmelidir. HAQM Linux hakkındaki talimatlar HAQM Linux Güvenlik Merkezi içerisinde yer almaktadır.
AWS Fargate
Fargate’in güncellenmiş sürümü, CVE-2019-5736’da tanımlanan sorunları azaltan Platform Sürümü 1.3 için sunulmaktadır. Eski Platform Sürümlerinin düzeltme ekli sürümleri (1.0.0, 1.1.0, 1.2.0) 15 Mart 2019 tarihinden itibaren erişilebilir kılınacaktır.
Fargate Hizmetlerini çalıştıran müşteriler, son Platform Sürümü 1.3’deki tüm yeni Görevleri başlatmak için force-new-deployment" (yeni-dağıtımı-zorla) özellikli UpdateService’i aramalıdırlar. Tek başına görevleri çalıştıran müşteriler mevcut görevleri sonlandırmalı ve son sürümü kullanarak yeniden başlatmalıdır. Belirli talimatlar Fargate güncelleme belgelerinde bulunabilir.
Düzeltme ekli sürüme yükseltilmeyen tüm görevler 19 Nisan 2019 tarihine kadar kullanımdan kaldırılacaktır. Tek başına görevleri kullanan müşteriler, kullanımdan kalkanları değiştirmek için yeni görevleri başlatmalıdır. Ek ayrıntılar Fargate Görev Kullanımdan Kaldırma belgelerinde bulunabilir.
AWS IoT Greengrass
AWS IoT GreenGrass çekirdeğinin güncellenmiş sürümleri 1.7.1 ve 1.6.1 için sunulmaktadır. Güncellenmiş sürümler Linux çekirdek sürümü 3.17 veya daha üst sürümlerde mevcut özellikleri gerektirir. Çekirdeğinizi güncellemeye yönelik bilgiye buradan ulaşabilirsiniz.
En iyi genel güvenlik uygulaması olarak GreenGrass çekirdeğinin herhangi bir sürümünü çalıştıran müşterilere sürüm 1.7.1’e yükseltmelerini tavsiye ediyoruz. Kablosuz güncellemelere yönelik talimatlara buradan ulaşabilirsiniz.
AWS Toplu İş
Güncellenmiş bir HAQM ECS için Optimize Edilmiş AMI varsayılan İşlem Ortamı AMI olarak sunulmaktadır. En iyi genel güvenlik uygulaması olarak Batch müşterilerine hâlihazırdaki İşlem Ortamlarını mevcut son AMI ile değiştirmelerini öneriyoruz. İşlem Ortamını değiştirmeye yönelik talimatlar Batch ürün belgelerinde mevcuttur.
Varsayılan AMI kullanmayan Batch müşterileri, bu sorunların ele alınması için gerekli güncellemeleri edinmek amacıyla kendi işletim sistemi satıcılarıyla iletişime geçmelidir. Batch özel AMI’ya yönelik talimatlar Batch ürün belgelerinde sunulmaktadır.
AWS Elastic Beanstalk
Güncellenmiş AWS Elastic Beanstalk Docker tabanlı platform sürümleri sunulmaktadır. Yönetilen Platform Güncellemeleri kullanan müşteriler, bir işleme gerek duymadan seçili bakım dönemlerinde en son platform sürümüne otomatik olarak güncellenecektir. Ayrıca müşteriler Yönetilen Güncellemeler yapılandırma sayfasına gidip “Apply Now” (Şimdi Uygula) düğmesine tıklayarak hemen güncelleyebilir. Yönetilen Platform Güncellemelerini etkinleştirmemiş olan müşteriler, buradaki talimatları izleyerek ortamlarının platformunun sürümünü güncelleyebilir.
AWS Cloud9
HAQM Linux ile AWS Cloud9 ortamının güncellenmiş bir sürümü sunulmaktadır. Varsayılan olarak müşteriler ilk önyükleme uygulanan güvenlik düzeltme eklerine sahip olacaktır. Hâlihazırda EC2 tabanlı AWS Cloud9 ortamı olan müşteriler son AWS Cloud9 sürümünden yeni bulut sunucularını başlatmalıdır. Daha fazla bilgi HAQM Linux Güvenlik Merkezi’nde mevcuttur.
HAQM Linux ile oluşturulmamış SSH ortamlarını kullanan müşteriler, bu sorunların ele alınması için gerekli güncellemeleri edinmek amacıyla kendi işletim sistemi satıcılarıyla iletişime geçmelidir.
AWS SageMaker
HAQM SageMaker’ın güncellenmiş bir sürümü mevcuttur. Eğitim, iyileştirme, toplu dönüşüm veya uç noktalar için HAQM SageMaker’ın varsayılan algoritma container’larını veya framework container’larını kullanan müşteriler etkilenmez. Etiketleme veya derleme çalıştıran müşteriler de etkilenmez. Docker container’larını çalıştırmak için HAQM SageMaker dizüstü bilgisayarları kullanmayan müşteriler etkilenmez. 11 Şubat tarihinde veya daha sonra başlatılan tüm uç noktalar, etiketleme, eğitim, iyileştirme, derleme ve toplu dönüşüm işlemleri en son güncellemeyi içerir ve müşterinin bir işlem yapmasına gerek yoktur. 11 Şubat veya daha sonrasında CPU bulut sunucuları ile başlatılan tüm HAQM SageMaker dizüstü bilgisayarlar ve 13 Şubat 18.00 PT veya daha sonrasında GPU bulut sunucuları ile başlatılan tüm HAQM SageMaker dizüstü bilgisayarları en yeni güncellemeleri içerirler ve müşterinin bir işlem yapmasına gerek yoktur.
AWS, 11 Şubat’tan önce oluşturulan özel kodlu eğitim, iyileştirme ve toplu dönüşüm işleri çalıştıran müşterilere durmalarını ve işlerine son güncellemeyi de dahil etmelerini öneriyor. Bu işlemler HAQM SageMaker konsolundan veya buradaki talimatları takip ederek yapılabilir.
HAQM SageMaker hizmette olan tüm uç noktaları dört haftada bir otomatik olarak son sürümüne günceller. 11 Şubat’tan önce oluşturulan tüm uç noktaların 11 Mart’a kadar güncellenmesi beklenir. Otomatik güncellemeler ile ilgili herhangi bir sorun olması ve müşterilerin uç noktaları güncellemeleri için eyleme geçmesinin gerektiği durumlarda HAQM SageMaker müşterilerin Kişisel Sağlık Durumu Panosu’nda bir bildirim yayınlayacaktır. Uç noktalarını daha erken güncellemek isteyen müşteriler diledikleri zaman HAQM SageMaker konsolundan veya UpdateEndpoint API eylemi ile uç noktalarını manuel olarak güncelleyebilirler. Otomatik ölçeklendirmesi etkin uç noktaları olan müşterilere buradaki talimatları takip ederek ek önlem almalarını öneriyoruz.
AWS, CPU bulut sunucuları ile çalışan HAQM SageMaker dizüstü bilgisayarlarındaki Docker container’larını çalıştıran müşterilere HAQM SageMaker dizüstü bilgisayar bulut sunucularını durdurmalarını ve mevcut en son sürüme getirmelerini öneriyor. Bu, HAQM SageMaker konsolundan yapılabilir. Ayrıca, müşteriler önce StopNotebookInstance API’sini kullanarak dizüstü bilgisayar bulut sunucusunu durdurabilir ve sonra StartNotebookInstance API’sini kullanarak dizüstü bilgisayar bulut sunucusunu başlatabilir.
AWS RoboMaker
AWS RoboMaker gelişim ortamının güncellenmiş bir sürümü sunulmaktadır. Yeni gelişim ortamları son sürümü kullanacaktır. Genel bir en iyi güvenlik uygulaması olarak AWS, RoboMaker gelişim ortamlarını kullanan müşterilerine Cloud9 ortamlarını son sürüme güncellemelerini öneriyor.
AWS IoT GreenGrass çekirdeğinin güncellenmiş bir sürümü sunulmaktadır. RoboMaker Filo Yönetimi kullanan tüm müşteriler GreenGrass çekirdeğini sürüm 1.7.1’e yükseltmelidir. Kablosuz güncellemelere yönelik talimatlara buradan ulaşabilirsiniz.
AWS Deep Learning AMI
HAQM Linux ve Ubuntu için Deep Learning Base AMI ve Deep Learning AMI’nın güncellemiş sürümleri AWS Marketplace’de sunulmaktadır. AWS, Deep Learning AMI veya Deep Learning Base AMI ile Docker kullanan müşterilerine son AMI sürümünün (HAQM Linux ve Ubuntu’da v21.2 veya daha yeni for Deep Learning AMI, HAQM Linux’da v16.2 veya daha yeni for Deep Learning Base AMI ve Ubuntu’da v15.2 veya daha yeni Deep Learning Base AMI) yeni bulut sunucularını başlatmalarını öneriyor. Daha fazla bilgi HAQM Linux Güvenlik Merkezi’nde mevcuttur.