發布日期:2024/01/31 1:30 PM PST
CVE 識別碼:CVE-2024-21626

AWS 注意到,最近披露的安全問題會影響若干開放原始碼容器管理系統 (CVE-2024-21626) 的 runc 元件。除了下方列出的 AWS 服務,客戶無需採取任何動作,即可解決此問題。

Amazon Linux
已更新版本的 runc 可用於 Amazon Linux 1 (runc-1.1.11-1.0.amzn1)、Amazon Linux 2 (runc-1.1.11-1.amzn2) 和 Amazon Linux 2023 (runc-1.1.11-1.amzn2023)。客戶若使用 runc 或其他容器相關軟體,AWS 建議套用這些更新或較新的版本。您可在 Amazon Linux 安全中心查看提供的更多資訊。

Bottlerocket OS
已更新版本的 runc 將包含在 Bottlerocket 1.19.0 中,該版本將於 2024 年 2 月 2 日發布。客戶若使用 Bottlerocket,AWS 建議套用此更新或較新的版本。您可在 Bottlerocket 安全建議Bottlerocket 版本備註中查看發布的更多資訊。

Amazon Elastic Container Service (ECS)
在 runc 中已修補此 CVE,並且已更新版本的 runc (版本 1.1.11-1) 作為最新 Amazon ECS 優化 Amazon Machine Images (AMI) (2024 年 1 月 31 日發布) 的一部分提供。

建議 ECS 客戶更新至這些 AMI (或最新可用的 AMI),或者執行 "yum update —security" 以取得此修補程式。如需其他資訊,請參閱「Amazon ECS 優化 AMI」使用者指南。 

Amazon Elastic Kubernetes Services (EKS)
Amazon EKS 發布了已更新的 EKS 優化 Amazon Machine Images (AMI) (版本 v20240129),其中包含已修補的容器執行期。客戶若使用受管節點群組,可參閱 EKS 文件來升級其節點群組。客戶若使用 Karpenter,可依照漂移AMI 選擇相關文件來更新節點。客戶若使用自我管理工作節點,可透過參閱 EKS 文件來取代現有節點。

 Amazon EKS Fargate 將於 2024 年 2 月 1 日前針對叢集上的新 Pod 提供更新,並將顯示以 eks-680e576 結尾的 Kubelet 版本。客戶可透過執行 kubectl get 節點來確認節點的版本。客戶應在 2024 年 2 月 2 日之後刪除現有的 Pod,以接收修補程式。如需有關刪除和建立 Fargate Pod 的資訊,請參閱「開始搭配 Amazon EKS 使用 AWS Fargate」文件。

Amazon EKS Anywhere 發布了已更新的映像版本 v0.18.6,其中包含修補後的容器執行期。客戶可以參閱 EKS Anywhere「升級叢集」文件,了解如何升級叢集以使用修補後的 VM 映像。

AWS Elastic Beanstalk
以 AWS Elastic Beanstalk Docker 和 ECS 為基礎之平台的已更新版本現已推出。客戶若啟用受管平台更新,將會在其選取的維護時段自動更新至最新平台版本,無須採取任何動作。客戶可前往「受管更新」設定頁面,然後按一下「立即套用」按鈕以立即更新。客戶若尚未啟用「受管平台更新」,可依照「更新您的 Elastic Beanstalk 環境平台版本」使用者指南,來更新環境的平台版本。


已更新版本的 runc 適用於最新版 Finch (版本 v1.1.0)。客戶應在 macOS 上升級其 Finch 安裝版本,以解決此問題。可透過專案的 GitHub 版本頁面下載 Finch 版本,如果您透過 Homebrew 安裝了 Finch,則可透過執行「brew 更新」來下載。

AWS Deep Learning AMI
受影響的 runc 套件是 Amazon Linux 2 Deep Learning AMI 的一部分。此 runc 套件從上游 Amazon Linux 2 版本提取。從 Amazon Linux Team 取得 Deep Learning AMI 後,便可以自動取用最新的修補套件。發布後,受影響的客戶需要提取最新的 Deep Learning AMI,以取用最新的 runc 更新來緩解問題。

AWS Batch
更新的 Amazon ECS 最佳化 AMI 可作為預設的運算環境 AMI 予以推出。我們建議的一般安全性最佳實務是 Batch 客戶應在最新 AMI 推出後,使用新版本取代現有的運算環境。您可在 Batch 產品文件中,取得運算環境的相關取代指示。

Batch 客戶若未使用預設 AMI,應聯絡作業系統廠商取得解決這些問題必需的更新。您可在 Batch 產品文件中,取得 Batch 自訂 AMI 的指示。

Amazon SageMaker
在 2024 年 2 月 2 日之後建立或重新啟動的任何 SageMaker 資源,包括 SageMaker 筆記本執行個體、SageMaker 訓練作業、SageMaker 處理作業、SageMaker 批次轉換作業、SageMaker Studio 和 SageMaker Inference 都會自動使用修補程式。針對 SageMaker Inference,將在 2024 年 2 月 7 日前自動修補任何未重新建立的即時端點。
 

有關安全性的問題或疑慮可以透過 aws-security@amazon.com 告知我們。