初始发布日期:2022 年 7 月 11 日 9:00(太平洋标准时)
一名安全研究人员最近报告了 Amazon Elastic Kubernetes Service(EKS)使用的适用于 Kubernetes 的 AWS IAM 身份验证器的问题。当配置为在查询字符串中使用“AccessKeyID”模板参数时,该研究人员发现了身份验证器插件中的查询参数验证问题。该问题可能会允许有经验的攻击者提升 Kubernetes 集群中的权限。不使用“AccessKeyID”参数的客户不受此问题的影响。
截至 2022 年 6 月 28 日,全球所有 EKS 集群都已更新为新版本的适用于 Kubernetes 的 AWS IAM 身份验证器,其中包含此问题的修复程序。在 Amazon EKS 中使用适用于 Kubernetes 的 AWS IAM 身份验证器的客户不需要采取任何防护措施。托管和管理自己的 Kubernetes 集群以及使用身份验证器插件的“AccessKeyID”模板参数的客户应该将适用于 Kubernetes 的 AWS IAM 身份验证器更新到版本 0.5.9。
感谢 Lightspin 报告此问题。
如有安全相关问题或疑问,请通过 aws-security@amazon.com 与我们联系。