2019 年 7 月 2 日下午 2:00(太平洋夏令时)
CVE 标识符:CVE-2019-11246
AWS 已经意识到 Kubernetes kubectl 工具存在安全问题 (CVE-2019-11246),该问题可能会允许恶意容器更换用户工作站上的文件或者在上面创建文件。
如果用户运行包含恶意版 tar 命令的不受信任容器并执行 kubectl cp 操作,则用于解压 tar 文件的 kubectl 二进制文件可能会覆盖用户工作站上的文件或者在上面创建文件。
AWS 客户应避免使用不受信任的容器。如果客户使用不受信任容器并使用 kubectl 工具来管理他们的 Kubernetes 集群,则应该避免使用受影响的 kubectl 版本运行 kubectl cp 命令,并更新到 kubectl 的最新版本。
更新 Kubectl
AWS 目前提供 kubectl(客户可以从 EKS 服务 S3 存储桶中下载),并通过我们的托管 AMI 提供二进制文件。
1.10.x:由 AWS 1.10.13 或更早版本提供的 kubectl 版本会受到影响。我们建议您更新到 kubectl 版本 1.11.10。
1.11.x:由 AWS 1.11.9 或更早版本提供的 kubectl 版本会受到影响。我们建议您更新到 kubectl 版本 1.11.10。
1.12.x:由 AWS 1.12.7 或更早版本提供的 kubectl 版本会受到影响。 我们建议您更新到 kubectl 版本 1.12.9。
1.13.x:由 AWS 提供的 kubectl 1.13.7 不会受到影响。
经 EKS 优化的 AMI
适用于 Kubernetes 版本 1.10.13、1.11.9 和 1.12.7 经 EKS 优化的 AMI 目前包含受影响的 kubectl 版本。
新的经 EKS 优化的 AMI 版本将于今天发布,不再包含 kubectl 二进制文件。EKS AMI 不依赖于 kubectl 二进制文件,之前是为方便起见而提供的。如果客户依赖于 AMI 中的 kubectl,则在升级到新的 AMI 时需要自行安装 kubectl。同时,用户应在使用之前手动更新任何 AMI 运行实例化上的 kubectl 版本。