三大クラウドのrunc脆弱性(CVE-2019-5736)対応状況メモ
三大クラウドのrunc脆弱性(CVE-2019-5736)対応状況メモ:
コンテナのラインタイム runc にImportantレベルの脆弱性(CVE-2019-5736)が発表されました。
悪意のあるイメージを実行するとホストノード上でroot権限を取得することが可能になります。
各プラットフォームの対応状況についてはSIOSさんのセキュリティBlogが参考になります。
runcの脆弱性情報(Important: CVE-2019-5736)
https://security.sios.com/vulnerability/runc-security-vulnerability-20190211.html
この記事ではAWS/Azure/GCPの対応状況をまとめておきます。
Container Security Issue (CVE-2019-5736)
https://aws.amazon.com/jp/security/security-bulletins/AWS-2019-002/
Dockerのアップデート版がAmazon Linux 2およびAmazon Linux AMI 2018.03リポジトリで提供済み
https://alas.aws.amazon.com/ALAS-2019-1156.html
最新のECS-Optimized AMIからコンテナインスタンスを起動する。
(言語を英語で表示すると最新のAMI IDが表示されます)
最新のEKS Optimized AMIからワーカーノードを起動する
EKS-Optimized AMI
https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html
Platform Version 1.3.0で問題を軽減可能
古いプラットフォームバージョン(1.0.0/1.1.0.1.2.0)2019年3月15日までにパッチが提供される
AWS Fargate Platform Versions
https://docs.aws.amazon.com/AmazonECS/latest/developerguide/platform_versions.html
修正プログラムが適用されていないすべてのタスクは、2019年4月19日までに強制的に停止される
Task Retirement
https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-retirement.html
最新のECS-Optimized AMIを使用するようにCompute Environmentを変更する。
Compute Environment のデフォルトAMIとして最新のECS-Optimized AMIが使われるよう変更されている。
最新のプラットフォームバージョンを使用する。
Managed Platform Updatesが有効な環境の場合は自動で更新される。
Release: AWS Elastic Beanstalk Docker platform updates on February 11, 2019
https://docs.aws.amazon.com/ja_jp/elasticbeanstalk/latest/relnotes/release-2019-02-11-docker.html
初回起動時に自動でパッチが適用される。
既存のEC2ベースで使用している場合は、新しいCloud9バージョンでインスタンスを作成する必要がある。
2月11日以降に起動されたすべてのリソースには最新の更新が含まれている。
2月11日より前に作成されたカスタムコードを使用している場合は手動のジョブ再起動が推奨される。
稼働中のすべてのエンドポイントは2月11日より前に作成されたすべてのエンドポイントは、3月11日までに
自動的に更新される予定。
確認中
February 11, 2019 (runc) - Security bulletins
https://cloud.google.com/kubernetes-engine/docs/security-bulletins
および1.12.5-gke.5以降のリリースで利用可能
Ubuntuで実行するノードだけが影響を受ける。
Container-Optimized OS(COS)を利用している場合は影響を受けない。
はじめに
コンテナのラインタイム runc にImportantレベルの脆弱性(CVE-2019-5736)が発表されました。悪意のあるイメージを実行するとホストノード上でroot権限を取得することが可能になります。
各プラットフォームの対応状況についてはSIOSさんのセキュリティBlogが参考になります。
runcの脆弱性情報(Important: CVE-2019-5736)
https://security.sios.com/vulnerability/runc-security-vulnerability-20190211.html
この記事ではAWS/Azure/GCPの対応状況をまとめておきます。
AWS
Container Security Issue (CVE-2019-5736)https://aws.amazon.com/jp/security/security-bulletins/AWS-2019-002/
Amazon Linux/Amazon Linux 2
Dockerのアップデート版がAmazon Linux 2およびAmazon Linux AMI 2018.03リポジトリで提供済みhttps://alas.aws.amazon.com/ALAS-2019-1156.html
ECS
最新のECS-Optimized AMIからコンテナインスタンスを起動する。(言語を英語で表示すると最新のAMI IDが表示されます)
EKS
最新のEKS Optimized AMIからワーカーノードを起動するEKS-Optimized AMI
https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html
Fargate
Platform Version 1.3.0で問題を軽減可能古いプラットフォームバージョン(1.0.0/1.1.0.1.2.0)2019年3月15日までにパッチが提供される
AWS Fargate Platform Versions
https://docs.aws.amazon.com/AmazonECS/latest/developerguide/platform_versions.html
修正プログラムが適用されていないすべてのタスクは、2019年4月19日までに強制的に停止される
Task Retirement
https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-retirement.html
AWS Batch
最新のECS-Optimized AMIを使用するようにCompute Environmentを変更する。Compute Environment のデフォルトAMIとして最新のECS-Optimized AMIが使われるよう変更されている。
Elastic Beanstalk
最新のプラットフォームバージョンを使用する。Managed Platform Updatesが有効な環境の場合は自動で更新される。
Release: AWS Elastic Beanstalk Docker platform updates on February 11, 2019
https://docs.aws.amazon.com/ja_jp/elasticbeanstalk/latest/relnotes/release-2019-02-11-docker.html
Cloud9
初回起動時に自動でパッチが適用される。既存のEC2ベースで使用している場合は、新しいCloud9バージョンでインスタンスを作成する必要がある。
SageMaker
2月11日以降に起動されたすべてのリソースには最新の更新が含まれている。2月11日より前に作成されたカスタムコードを使用している場合は手動のジョブ再起動が推奨される。
稼働中のすべてのエンドポイントは2月11日より前に作成されたすべてのエンドポイントは、3月11日までに
自動的に更新される予定。
Azure
確認中
GCP
February 11, 2019 (runc) - Security bulletinshttps://cloud.google.com/kubernetes-engine/docs/security-bulletins
What should I do?このパッチは GKE 1.10.12-gke.7, 1.11.6-gke.11, 1.11.7-gke.4,
In order to upgrade your nodes, you must first upgrade your master to the newest version.
および1.12.5-gke.5以降のリリースで利用可能
Ubuntuで実行するノードだけが影響を受ける。
Container-Optimized OS(COS)を利用している場合は影響を受けない。
コメント
コメントを投稿