上次更新时间:2019 年 8 月 15 日上午 9:00(太平洋夏令时)
CVE 标识符:CVE-2019-11249
AWS 已经意识到一个安全问题 (CVE-2019-11249),该问题会解析 CVE-2019-1002101 和 CVE-2019-11246 不完全修复。与前面提到的 CVE 一样,该问题的根源在于 Kubernetes kubectl 工具,该问题可能会允许恶意容器更换用户工作站上的文件或者在上面创建文件。
如果用户运行包含恶意版 tar 命令的不受信任容器并执行 kubectl cp 操作,则用于解压 tar 文件的 kubectl 二进制文件可能会覆盖用户工作站上的文件或者在上面创建文件。
AWS 客户应避免使用不受信任的容器。如果客户使用不受信任容器并使用 kubectl 工具来管理他们的 Kubernetes 集群,则应该避免使用受影响的 kubectl 版本运行 kubectl cp 命令,并更新到 kubectl 的最新版本。
更新 Kubectl
Amazon Elastic Kubernetes Service (EKS) 目前提供 kubectl,客户可以从 EKS 服务 S3 存储桶中下载。关于下载和安装说明,请访问 EKS 用户指南。客户可以运行命令“kubectl version --client”,了解他们使用的是哪个版本。
关于受影响的 kubectl 版本的列表,以及我们建议更新到的推荐版本,请参考下表:
| AWS 提供的 kubectl 版本 | 受影响的版本 |
推荐版本 |
|---|---|---|
| 1.10.x | 1.10.13 及更早版本 | v1.11.10-eks-2ae91d |
| 1.11.x | 1.11.10 及更早版本 |
v1.11.10-eks-2ae91d |
| 1.12.x | 1.12.9 及更早版本 | v1.12.9-eks-f01a84 |
| 1.13.x | 1.13.7 及更早版本 |
v1.13.7-eks-fa4c70 |
经 EKS 优化的 AMI
适用于 Kubernetes 经 EKS 优化的 AMI 版本 v20190701 不再包含 kubectl。如果客户运行的是 v20190701 或更新版本,则不会受到影响,无需采取任何措施。如果客户运行的是之前的 EKS AMI 版本,则应更新到最新 EKS AMI。
CVE-2019-11246 已在 AWS-2019-006 中得到解决。