2. Juli 2019, 14:00 Uhr PDT
CVE-Kennung: CVE-2019-11246
AWS ist sich eines Sicherheitsproblems (CVE-2019-11246) beim Kubernetes kubectl-Tool bewusst. Dieses könnte einem bösartigen Container erlauben, Dateien auf der Workstation eines Benutzers zu ersetzen oder zu erstellen.
Für den Fall, dass ein Benutzer einen nicht vertrauenswürdigen Container mit einer bösartigen Version des tar-Befehls sowie auch die kubectl cp-Operation ausführt, könnte das kubectl-Binärprogramm, das die tar-Datei entpackt, Dateien auf der Workstation des Benutzers überschreiben oder erstellen.
AWS-Kunden sollten davon absehen, nicht vertrauenswürdige Container zu verwenden. Insofern Kunden einen nicht vertrauenswürdigen Container ausführen und ein kubectl-Tool für die Verwaltung ihres Kubernetes-Clusters verwenden, sollten sie von der Ausführung des Befehls „kubectl cp“ in den betroffenen Versionen absehen und auf die neueste kubectl-Version aktualisieren.
Kubectl aktualisieren
AWS vertreibt zurzeit kubectl für Kunden zum Download im EKS Service S3 Bucketund versendet das Binärprogramm in unseremverwalteten AMI.
1.10.x: Es sind Versionen von kubectl betroffen, die von AWS 1.10.13 oder früheren Versionen vertrieben wurden. Wir empfehlen Ihnen ein Update auf die kubectl-Version 1.11.10.
1.11.x: Es sind Versionen von kubectl betroffen, die von AWS 1.11.9 oder früheren Versionen vertrieben wurden. Wir empfehlen Ihnen ein Update auf die kubectl-Version 1.11.10.
1.12.x: Es sind Versionen von kubectl betroffen, die von AWS 1.12.7 oder früheren Versionen vertrieben wurden. Wir empfehlen Ihnen ein Update auf die kubectl-Version 1.12.9.
1.13.x: Das von AWS vertriebene kubectl 1.13.7 ist nicht betroffen.
EKS-optimierte AMIs
Die EKS-optimierten AMIs für Kubernetes in den Versionen 1.10.13, 1.11.9 und 1.12.7 enthalten derzeit betroffene Versionen von kubectl.
Neue Versionen des EKS-optimierten AMIs werden heute verfügbar gemacht und werden das kubectl-Binärprogramm nicht mehr enthalten. EKS AMI ist nicht auf das kubectl-Binärprogramm angewiesen und wurde zuvor als Annehmlichkeit zur Verfügung gestellt. Jene Kunden, die kubectl im AMI benötigen, werden es selbständig installieren müssen, wenn sie auf ein neues AMI aktualisieren. In der Zwischenzeit sollten die Benutzer die kubectl-Version bei jeder laufenden Instanziierung des AMI manuell aktualisieren, bevor sie diese verwenden.