02 de julio de 2019, 2:00 p. m. PDT
Identificador de CVE: CVE-2019-11246
AWS está al tanto de un problema de seguridad (CVE-2019-11246) en la herramienta kubectl de Kubernetes que podría permitir que un contenedor malicioso reemplace o genere archivos en la estación de trabajo de un usuario.
Si un usuario ejecutara un contenedor no confiable que contuviera una versión maliciosa del comando tar y ejecutara la operación kubectl cp, el binario de kubectl que desempaqueta el archivo tar podría sobrescribir o crear archivos en la estación de trabajo de un usuario.
Los clientes de AWS deben abstenerse de usar contenedores no confiables. Si los clientes utilizan un contenedor no confiable y utilizan la herramienta kubectl para administrar sus clústeres de Kubernetes, deberán abstenerse de ejecutar el comando kubectl cp con las versiones afectadas y actualizar a la última versión de kubectl.
Actualización de Kubectl
Actualmente, AWS vende kubectl para que los clientes lo descarguen en el bucket de S3 del servicio de EKS, así como también el envío del binario en nuestra AMI administrada.
1.10.x: las versiones de kubectl vendidas por AWS, 1.10.13 o anteriores se ven afectadas. Recomendamos que actualice a la versión 1.11.10 de kubectl.
1.11.x: las versiones de kubectl vendidas por AWS, 1.11.9 o anteriores se ven afectadas. Recomendamos que actualice a la versión 1.11.10 de kubectl.
1.12.x: las versiones de kubectl vendidas por AWS, 1.12.7 o anteriores se ven afectadas. Recomendamos que actualice a la versión 1.12.9 de kubectl.
1.13.x: la versión 1.13.7 de kubectl vendida por AWS no se ve afectada.
AMI optimizadas para EKS
Las AMI optimizadas para EKS para las versiones 1.10.13, 1.11.9 y 1.12.7 de Kubernetes contienen actualmente versiones de kubectl afectadas.
Hoy se lanzarán nuevas versiones de las AMI optimizadas para EKS y ya no incluirán el binario de kubectl. La AMI de EKS no se basa en el binario de kubectl y anteriormente se proporcionó como beneficio. Los clientes que confían en que kubectl esté presente en la AMI deberán instalarlo ellos mismos cuando actualicen a la nueva AMI. Mientras tanto, los usuarios deben actualizar la versión de kubectl manualmente en todas las instancias de la AMI en ejecución antes de utilizarla.