Letzte Aktualisierung: 15. August 2019, 9:00 Uhr PDT
CVE-Kennung: CVE-2019-11249
AWS ist sich eines Sicherheitsproblems (CVE-2019-11249) bewusst, das unvollständige Korrekturen für CVE-2019-1002101 und CVE-2019-11246 löst. Wie auch bei den oben genannten CVEs der Fall, liegt das Problem beim Kubernetes kubectl-Tool. Dieses könnte es einem bösartigen Container erlauben, Dateien auf der Workstation eines Benutzers zu ersetzen oder zu erstellen.
Für den Fall, dass ein Benutzer einen nicht vertrauenswürdigen Container mit einer bösartigen Version des tar-Befehls sowie auch die kubectl cp-Operation ausführt, könnte das kubectl-Binärprogramm, das die tar-Datei entpackt, Dateien auf der Workstation des Benutzers überschreiben oder erstellen.
AWS-Kunden sollten davon absehen, nicht vertrauenswürdige Container zu verwenden. Insofern Kunden einen nicht vertrauenswürdigen Container ausführen und ein kubectl-Tool für die Verwaltung ihres Kubernetes-Clusters verwenden, sollten sie von der Ausführung des Befehls „kubectl cp“ in den betroffenen Versionen absehen und auf die neueste kubectl-Version aktualisieren.
Kubectl aktualisieren
Amazon Elastic Kubernetes Service (EKS) vertreibt zurzeit kubectl für Kunden zum Download vom EKS Service S3 Bucket. Anweisungen zum Download und zur Installation finden Sie in dem EKS-Benutzerleitfaden. Die Kunden können den Befehl „kubectl version --client“ ausführen, um herauszufinden, welche Version sie benutzen.
Entnehmen Sie bitte der unten angeführten Tabelle eine Liste der betroffenen kubectl-Versionen sowie die empfohlenen Versionen, für die ein Update empfohlen wird:
| Von AWS vertriebene kubectl-Version | Betroffene Versionen |
Empfohlene Version |
|---|---|---|
| 1.10.x | 1.10.13 und frühere Versionen | v1.11.10-eks-2ae91d |
| 1.11.x | 1.11.10 und frühere Versionen |
v1.11.10-eks-2ae91d |
| 1.12.x | 1.12.9 und frühere Versionen | v1.12.9-eks-f01a84 |
| 1.13.x | 1.13.7 und frühere Versionen |
v1.13.7-eks-fa4c70 |
EKS-optimierte AMIs
Die EKS-optimierten AMIs für Kubernetes in der Version v20190701 enthalten kubectl nicht mehr. Jene Kunden, die v20190701 oder eine neuere Version ausführen, sind nicht betroffen und es besteht kein Handlungsbedarf. Jene Kunden, die eine frühere Version des EKS AMI ausführen, sollten auf das neueste EKS AMI aktualisieren.
CVE-2019-11246 wurde in AWS-2019-006 behandelt.