2 juillet 2019 14h00 PDT (heure du Pacifique)
Identifiant CVE : CVE-2019-11246
AWS a connaissance d'un problème de sécurité (CVE-2019-11246) dans l'outil kubectl de Kubernetes qui peut permettre à un conteneur malveillant de remplacer ou de créer des fichiers sur la station de travail d'un utilisateur.
Si un utilisateur venait à exécuter un conteneur non fiable qui contient une version malveillante de la commande tar et à exécuter l'opération kubectl cp, le contenu binaire kubectl qui décompresse le fichier tar peut écraser ou créer des fichiers sur la station de travail d'un utilisateur.
Les clients AWS doivent éviter d'utiliser des conteneurs non fiables. Si les clients utilisent un conteneur non fiable et utilisent l'outil kubectl pour gérer leurs clusters Kubernetes, ils doivent éviter d'exécuter la commande kubectl cp en utilisant les versions affectées et effectuer une mise à jour vers la dernière version de kubectl.
Mise à jour de Kubectl
AWS fournit actuellement kubectl en téléchargement aux clients dans le compartiment S3 du service EKS, ainsi que le contenu binaire dans notre AMI géré.
1.10.x : les versions de kubectl fournies par AWS 1.10.13 ou versions antérieures sont affectées. Nous vous recommandons d'effectuer une mise à jour vers la version 1.11.10 de kubectl.
1.11.x : les versions de kubectl fournies par AWS 1.11.9 ou versions antérieures sont affectées. Nous vous recommandons d'effectuer une mise à jour vers la version 1.11.10 de kubectl.
1.12.x : les versions de kubectl fournies par AWS 1.12.7 ou versions antérieures sont affectées. Nous vous recommandons d'effectuer une mise à jour vers la version 1.12.9 de kubectl.
1.13.x : la version 1.13.7 de kubectl fournie par AWS n'est pas affectée.
AMI optimisées pour EKS
Les AMI optimisées pour EKS des versions 1.10.13, 1.11.9 et 1.12.7 de Kubernetes contiennent actuellement les versions affectées de kubectl.
Les nouvelles versions des AMI optimisées pour EKS vont être publiées aujourd'hui. Elles n'incluent plus le contenu binaire kubectl. L'AMI EKS ne dépend pas du contenu binaire kubectl qui était précédemment fourni pour des raisons de commodité. Les clients qui dépendent de la présence de kubectl dans l'AMI doivent l'installer eux-mêmes lorsqu'ils mettent à niveau vers la nouvelle AMI. Parallèlement, les utilisateurs doivent mettre à jour manuellement la version de kubectl sur toutes les instanciations de l'AMI en cours d'exécution avant de l'utiliser.