تم آخر تحديث في: 15 أغسطس، 2019 الساعة 9:00 صباحًا بتوقيت منطقة المحيط الهادئ

مُعرِّف CVE: ‏CVE-2019-11249‏

إن AWS على دراية بالمشكلة الأمنية (CVE-2019-11249) التي تقدم حلول إصلاحات غير كاملة لـ CVE-2019-1002101 وCVE-2019-11246. وكما هو الحال مع CVEs المذكورة أعلاه، تكمن المشكلة في أداة Kubernetes kubectl التي قد تسمح لحاوية ضارة بإنشاء ملفات على محطة عمل المستخدم أو استبدالها.

فإذا كان على المستخدم تشغيل حاوية غير موثوق بها تحتوي على إصدار ضار من الأمر tar وتنفيذ عملية kubectl cp، فبإمكان ثنائي kubectl الذي يقوم بفك ضغط ملف tar إنشاء ملفات على محطة عمل المستخدم أو استبدالها.

ينبغي على عملاء AWS عدم استخدام أي حاويات غير موثوق بها. فإذا استخدم العملاء حاوية غير موثوق بها واستخدموا أداة kubectl لإدارة مجموعات Kubernetes الخاصة بهم، فينبغي عليهم عدم تشغيل أمر kubectl cp باستخدام الإصدارات المتأثرة والترقية إلى أحدث إصدار من kubectl.

تحديث Kubectl‏

تقوم Amazon Elastic Kubernetes Service (EKS) حاليًا ببيع kubectl للعملاء لتنزيله من حاوية S3 بخدمة EKS. يمكن العثور على تعليمات التنزيل والتثبيت في دليل مستخدم EKS‏. يمكن للعملاء تشغيل الأمر «إصدار kubectl - العميل» لمعرفة الإصدار الذي يستخدمونه.

للحصول على قائمة بإصدارات kubectl المتأثرة والإصدارات الموصى بها والتي نوصي بالتحديث إليها، يُرجى الرجوع إلى الجدول أدناه:

إصدار kubectl المباع من قبل AWS الإصدارات المتأثرة
الإصدار الموصى به
1.10.x 1.10.13 والإصدار الأقدم v1.11.10-eks-2ae91d
1.11.x 1.11.10 والإصدار الأقدم
v1.11.10-eks-2ae91d
1.12.x 1.12.9 والإصدار الأقدم v1.12.9-eks-f01a84
1.13.x 1.13.7 والإصدار الأقدم
v1.13.7-eks-fa4c70

وحدات AMI المحسنة من قبل EKS‏

لم تعد وحدات AMI المحسنة من قبل EKS‏ لـ Kubernetes في الإصدار v20190701 تحتوي على kubectl. لن يتأثر العملاء الذين يستخدمون الإصدار v20190701 أو الإصدار الأحدث، ولا يلزم اتخاذ أي إجراء. ينبغي على العملاء الذين يقومون بتشغيل إصدار سابق لوحدة AMI من EKS التحديث إلى أحدث إصدار.

تم تناول CVE-2019-11246 في AWS-2019-006.