Dernière mise à jour : 15 août 2019 9h00 PDT (heure du Pacifique)
Identifiant CVE : CVE-2019-11249
AWS a connaissance d'un problème de sécurité (CVE-2019-11249) qui résout des correctifs incomplets pour les problèmes CVE-2019-1002101 et CVE-2019-11246. Comme pour les CVE mentionnés ci-dessus, le problème se trouve dans l'outil kubectl de Kubernetes qui peut permettre à un conteneur malveillant de remplacer ou de créer des fichiers sur la station de travail d'un utilisateur.
Si un utilisateur venait à exécuter un conteneur non fiable qui contient une version malveillante de la commande tar et à exécuter l'opération kubectl cp, le contenu binaire kubectl qui décompresse le fichier tar peut écraser ou créer des fichiers sur la station de travail d'un utilisateur.
Les clients AWS doivent éviter d'utiliser des conteneurs non fiables. Si les clients utilisent un conteneur non fiable et utilisent l'outil kubectl pour gérer leurs clusters Kubernetes, ils doivent éviter d'exécuter la commande kubectl cp en utilisant les versions affectées et effectuer une mise à jour vers la dernière version de kubectl.
Mise à jour de Kubectl
Amazon Elastic Kubernetes Service (EKS) fournit actuellement kubectl en téléchargement aux clients depuis le compartiment S3 du service EKS. Vous pouvez trouver les instructions de téléchargement et d'installation dans le guide de l'utilisateur EKS. Les clients peuvent exécuter la commande « kubectl version --client » pour connaître la version qu'ils utilisent.
Reportez-vous au tableau ci-dessus pour obtenir une liste des versions affectées de kubectl, ainsi que les versions recommandées pour lesquelles nous recommandons une mise à jour :
| Version de kubectl fournie par AWS | Versions affectées |
Version recommandée |
|---|---|---|
| 1.10.x | 1.10.13 et antérieures | v1.11.10-eks-2ae91d |
| 1.11.x | 1.11.10 et antérieures |
v1.11.10-eks-2ae91d |
| 1.12.x | 1.12.9 et antérieures | v1.12.9-eks-f01a84 |
| 1.13.x | 1.13.7 et antérieures |
v1.13.7-eks-fa4c70 |
AMI optimisées pour EKS
Les AMI optimisées pour EKS de la version v20190701 de Kubernetes ne contiennent plus kubectl. Les clients qui exécutent la v20190701 ou une version plus récente ne sont pas affectés, et aucune action n'est requise de leur part. Les clients qui exécutent une version antérieure de l'AMI EKS doivent effectuer une mise à jour vers la dernière AMI EKS.
Le problème de sécurité CVE-2019-11246 a été traité dans AWS-2019-006.