発行日: 2024 年 1 月 31 日 午後 1 時 30 分 (PST)
CVE 識別子: CVE-2024-21626
AWS では、最近明らかになったセキュリティ問題について認識しています。本問題は一部のオープンソースのコンテナ管理システムの runC コンポーネントに影響します (CVE-2024-21626)。以下の AWS サービスを除き、この問題に対処するためにお客様側で必要な対応はありません。
Amazon Linux
runC の更新バージョンは、Amazon Linux 1 (runc-1.1.11-1.0.amzn1)、Amazon Linux 2 (runc-1.1.11-1.amzn2)、Amazon Linux 2023 (runc-1.1.11-1.amzn2023) でご利用いただけます。runC または他のコンテナ関連ソフトウェアを使用するお客様に対し、AWS ではこれらの更新または新しいバージョンの適用を推奨しています。詳細については、Amazon Linux Security Center を参照してください。
Bottlerocket OS
runC の更新バージョンは、2024 年 2 月 2 日までにリリース予定の Bottlerocket 1.19.0 に含まれる予定です。AWS は、Bottlerocket をご利用のお客様に対し、この更新または新しいバージョンの適用を推奨しています。詳細については、Bottlerocket の Security Advisories および Bottlerocket のリリースノートに掲載される予定です。
Amazon Elastic Container Service (ECS)
この CVE は runC でパッチ適用されており、runC の更新バージョンであるバージョン 1.1.11-1 は、2024 年 1 月 31 日にリリースされた最新の Amazon ECS 最適化 Amazon マシンイメージ (AMI) の一部としてご利用いただけます。
ECS のお客様には、これらの AMI (もしくは利用可能な最新の AMI) に更新するか、または「yum update —security」を実行してこのパッチを入手することをお勧めします。追加情報については、「Amazon ECS に最適化された AMI」ユーザーガイドをご覧ください。
Amazon Elastic Kubernetes Services (EKS)
Amazon EKS は、パッチが適用されたコンテナランタイムを含む、更新された EKS 最適化 Amazon マシンイメージ (AMI) のバージョン v20240129 をリリースしました。マネージド型ノードグループを使用しているお客様は、ノードグループのアップグレードが可能です。EKS ドキュメントをご参照ください。Karpenter を使用しているお客様は、ノードの更新が可能です。Driftまたは AMI の選択に関するドキュメントをご覧ください。セルフマネージド型のワーカーノードを使用しているお客様は、既存ノードの置換が可能です。EKS ドキュメントをご参照ください。
Amazon EKS Fargate では、2024 年 2 月 1 日までにクラスター上の新しいポッド向けの更新が利用可能になり、末尾が eks-680e576 の Kubelet バージョンが表示される予定です。kubectl get nodes を実行すると、ノードのバージョンを確認できます。2024 年 2 月 2 日以降にパッチを受け取るには、既存のポッドを削除する必要があります。Fargate ポッドの削除および作成方法については、「Amazon EKS を使用した AWS Fargate の使用開始」のドキュメントをご覧ください。
Amazon EKS Anywhere が、パッチが適用されたコンテナランタイムを含む更新済みイメージバージョン v0.18.6 をリリースしました。クラスターをアップグレードして、パッチが適用された VM イメージを使用する方法については、EKS Anywhere の「Upgrade cluster」ドキュメントを参照してください。
AWS Elastic Beanstalk
AWS Elastic Beanstalk の更新済みの Docker および ECS ベースのプラットフォームバージョンがご利用いただけます。マネージドプラットフォーム更新を使用している場合は、選択したメンテナンスウィンドウで最新のプラットフォームバージョンに自動的に更新されます。お客様側で必要な対応はありません。直ちに更新を行う場合は、マネージド更新の設定ページにアクセスし、[今すぐ適用] ボタンをクリックしてください。マネージドプラットフォーム更新を有効にしていないお客様は、ご利用の環境のプラットフォームバージョンの更新が可能です。「Elastic Beanstalk 環境のプラットフォームバージョンの更新」ユーザーガイドをご覧ください。
Finch
runC の更新バージョンは、最新リリースの v1.1.0 の Finch でご利用いただけます。この問題に対処するには、macOS にインストールされている Finch をアップグレードする必要があります。Finch のリリースは、プロジェクトの GitHub リリースページからダウンロードできます。Homebrew 経由で Finch をインストールした場合は「brew update」を実行してください。
AWS 深層学習 AMI
影響を受ける runC パッケージは、Amazon Linux 2 深層学習 AMI の一部です。この runC パッケージは、Amazon Linux 2 のアップストリームリリースから取得されたものです。深層学習 AMI は、パッチが適用された最新のパッケージを、Amazon Linux チームからの提供が開始された段階で自動的に使用します。リリース後、影響を受けるお客様は、問題を軽減するために、最新の深層学習 AMI を取得して最新の runC の更新を使用する必要があります。
AWS Batch
デフォルトのコンピューティング環境 AMI として、更新された Amazon ECS 最適化 AMI をご利用いただけます。セキュリティの一般的なベストプラクティスとして、Batch をお使いのお客様は、既存のコンピューティング環境を最新の AMI に置き換えることをお勧めします。コンピューティング環境の置き換えに関する手順については、「Batch の製品ドキュメント」をご覧ください。
デフォルトの AMI を使用していない Batch のお客様は、これらの問題に対処するために必要な更新について、オペレーティングシステムのベンダーまでお問い合わせください。Batch のカスタム AMI に関する手順については、「Batch の製品ドキュメント」をご覧ください。
Amazon SageMaker
2024 年 2 月 2 日以降に作成または再起動されたすべての SageMaker リソース (SageMaker ノートブックインスタンス、SageMaker トレーニングジョブ、SageMaker 処理ジョブ、SageMaker バッチ変換ジョブ、SageMaker Studio、SageMaker 推論など) は、自動的にパッチを使用します。SageMaker 推論の場合、再作成されなかったライブエンドポイントには 2024 年 2 月 7 日までにパッチが自動的に適用されます。
セキュリティ関連の質問または懸念事項については、aws-security@amazon.com までお問い合わせください。