02 يوليو 2019 الساعة 2:00 ظهرًا بتوقيت المحيط الهادئ
معرف CVE: CVE-2019-11246
إن AWS على دراية بالمشكلة الأمنية (CVE-2019-11246) في أداة Kubernetes kubectl التي قد تسمح لحاوية ضارة بإنشاء ملفات على محطة عمل المستخدم أو استبدالها.
فإذا كان على المستخدم تشغيل حاوية غير موثوق بها تحتوي على إصدار ضار من الأمر tar وتنفيذ عملية kubectl cp، فبإمكان ثنائي kubectl الذي يقوم بفك ضغط ملف tar إنشاء ملفات على محطة عمل المستخدم أو استبدالها.
ينبغي على عملاء AWS عدم استخدام أي حاويات غير موثوق بها. فإذا استخدم العملاء حاوية غير موثوق بها واستخدموا أداة kubectl لإدارة مجموعات Kubernetes الخاصة بهم، فينبغي عليهم عدم تشغيل أمر kubectl cp باستخدام الإصدارات المتأثرة والترقية إلى أحدث إصدار من kubectl.
تحديث Kubectl
تقوم AWS حاليًا ببيع kubectl للعملاء لتنزيله في حاوية S3 بخدمة EKS، بالإضافة إلى شحن الثنائي في AMI المُدار الخاص بنا.
1.10.x: إصدارات kubectl التي تم بيعها بواسطة AWS والتي تأثرت هي إصدار 1.10.13 أو إصدار سابق. نوصي بالتحديث إلى الإصدار 1.11.10 من kubectl.
1.11.x: إصدارات kubectl التي تم بيعها بواسطة AWS والتي تأثرت هي إصدار 1.11.9 أو إصدار سابق. نوصي بالتحديث إلى الإصدار 1.11.10 من kubectl..
1.12.x: إصدارات kubectl التي تم بيعها بواسطة AWS والتي تأثرت هي إصدار 1.12.7 أو إصدار سابق. نوصي بالتحديث إلى الإصدار 1.12.9 من kubectl.
1.13.x: لم يتأثر الإصدار 1.13.7 من kubectl الذي تم بيعه بواسطة AWS.
وحدات AMI المحسنة من قبل EKS
تحتوي حاليًا وحدات AMI المحسّنة من EKS لإصدارات Kubernetes 1.10.13 و1.11.9 و1.12.7 على إصدارات متأثرة من kubectl.
سيتم طرح إصدارات جديدة من وحدات AMI المحسّنة من EKS اليوم ولن تتضمن ثنائي kubectl. لا تعتمد وحدة AMI من EKS على ثنائي kubectl وتم توفيرها في السابق كوسيلة راحة. سيحتاج العملاء الذين يعتمدون على وجود kubectl بوحدة AMI إلى تثبيتها بأنفسهم عند الترقية إلى إصدار AMI الجديد. في غضون ذلك الوقت، ينبغي على المستخدمين تحديث إصدار kubectl يدويًا على أي مثيل قيد التشغيل لـ AMI قبل استخدامه.