Última actualización: 15 de agosto de 2019, 9:00 a. m. PDT
Identificador de CVE: CVE-2019-11249
AWS está al tanto de un problema de seguridad (CVE-2019-11249) que resuelve arreglos incompletos para CVE-2019-1002101 y CVE-2019-11246. Al igual que los CVE mencionados anteriormente, el problema está en la herramienta kubectl de Kubernetes, que podría permitir que un contenedor malicioso reemplace o genere archivos en la estación de trabajo de un usuario.
Si un usuario ejecutara un contenedor no confiable que contuviera una versión maliciosa del comando tar y ejecutara la operación kubectl cp, el binario de kubectl que desempaqueta el archivo tar podría sobrescribir o crear archivos en la estación de trabajo de un usuario.
Los clientes de AWS deben abstenerse de usar contenedores no confiables. Si los clientes utilizan un contenedor no confiable y utilizan la herramienta kubectl para administrar sus clústeres de Kubernetes, deberán abstenerse de ejecutar el comando kubectl cp con las versiones afectadas y actualizar a la última versión de kubectl.
Actualización de Kubectl
Actualmente, Amazon Elastic Kubernetes Service (EKS) vende kubectl para que los clientes lo descarguen a través del bucket de S3 del servicio de EKS. Las instrucciones de descarga e instalación se pueden encontrar en la Guía del usuario de EKS. Los clientes pueden ejecutar el comando “kubectl version --client” para descubrir qué versión están utilizando.
Para obtener una lista de las versiones de kubectl afectadas y las versiones recomendadas a las que sugerimos actualizar, consulte la siguiente tabla:
Versión de kubectl vendida por AWS | Versiones afectadas |
Versión recomendada |
---|---|---|
1.10.x | 1.10.13 y anteriores | v1.11.10-eks-2ae91d |
1.11.x | 1.11.10 y anteriores |
v1.11.10-eks-2ae91d |
1.12.x | 1.12.9 y anteriores | v1.12.9-eks-f01a84 |
1.13.x | 1.13.7 y anteriores |
v1.13.7-eks-fa4c70 |
AMI optimizadas para EKS
Las AMI optimizadas para EKS para Kubernetes en la versión v20190701 ya no contienen kubectl. Los clientes que ejecutan v20190701 o una versión más reciente no se ven afectados y no se requiere ninguna acción. Los clientes que ejecutan una versión anterior de la AMI de EKS deben actualizar a la última AMI de EKS.
CVE-2019-11246 se abordó en AWS-2019-006.