容器网络安全问题(CVE-2020-8558)

AWS意识到Kubernetes社区最近披露的一个影响Linux容器网络的安全问题(CVE-2020-8558)。此问题可能允许在同一主机或相邻主机(运行在同一LAN或第2层域中的主机)上运行的容器访问绑定到localhost(127.0.0.1)的TCP和UDP服务。

在Amazon ECS和Amazon EKS中维护客户之间隔离的所有AWS安全控制继续正常工作。此问题不存在跨帐户数据访问的风险。一台主机上容器内的进程可能会意外获得对同一主机上的其他容器或同一VPC和子网内其他主机上的其他容器的网络访问权限。需要客户采取行动，有关立即缓解的步骤，请访问https://github.com/aws/containers-roadmap/issues/976.。所有Amazon ECS和Amazon EKS客户都应更新到最新的AMI。

Amazon Elastic Container Service(Amazon ECS)更新的Amazon ECS优化AMI现已推出。作为一般安全最佳实践，我们建议ECS客户更新其配置，以便从最新的AMI版本启动新的容器实例。

Amazon Elastic Kubernetes Service(Amazon EKS)更新的Amazon EKS优化AMI现已推出。作为一般安全最佳实践，我们建议EKS客户更新其配置，以便从最新的AMI版本启动新的工作节点。

使用托管节点组的客户可以通过参考EKS文档升级其节点组。客户自主管理工作节点应参考EKS文档，用新的AMI版本替换现有实例。

AWS意识到Kubernetes社区最近披露的一个影响Linux容器网络的安全问题(CVE-2020-8558)。此问题可能允许在相同或相邻主机(运行在相同LAN或第2层域中的主机)上运行的容器访问绑定到localhost(127.0.0.1)的TCP和UDP服务。

在Amazon ECS和Amazon EKS中维护客户之间隔离的所有AWS安全控制继续正常工作。此问题不存在跨帐户数据访问的风险。一台主机上容器内的进程可能会意外获得对同一主机上的其他容器或同一VPC和子网内其他主机上的其他容器的网络访问权限。需要客户采取行动，立即缓解的步骤请访问：https://github.com/aws/containers-roadmap/issues/976。

我们将为Amazon ECS和Amazon EKS发布更新的Amazon机器映像，客户应在这些AMI可用时立即更新到它们。

Amazon Elastic Container Service(Amazon ECS)Amazon ECS将于2020年7月9日发布更新的ECS优化AMI，包括Amazon Linux AMI、Amazon Linux 2 AMI、GPU优化AMI、ARM优化AMI和Inferens优化AMI。更新为使用这些AMI之一将缓解该问题。当有更新的AMI可用时，我们将更新此公告。

Amazon Elastic Kubernetes Service(Amazon EKS)Amazon EKS将于2020年7月9日发布更新的EKS优化AMI，包括适用于Kubernetes 1.14、1.15和1.16的Amazon Linux 2 EKS优化AMI和EKS优化加速AMI。更新为使用这些AMI之一将缓解该问题。当有更新的AMI可用时，我们将更新此公告。