Date de la première publication : 11/07/2022 9 h 00 PST
Un chercheur en sécurité a récemment signalé un problème avec AWS IAM Authenticator for Kubernetes, utilisé par Amazon Elastic Kubernetes Service (EKS). Le chercheur a identifié un problème de validation des paramètres de requête dans le plugin d'authentification lorsqu'il est configuré pour utiliser le paramètre de modèle « AccessKeyID » dans les chaînes de requête. Ce problème aurait pu permettre à un hacker averti d'élever ses privilèges dans un cluster Kubernetes. Les clients qui n'utilisent pas le paramètre « AccessKeyID » ne sont pas affectés par ce problème.
Depuis le 28 juin 2022, tous les clusters EKS dans le monde ont été mis à jour avec une nouvelle version d'AWS IAM Authenticator for Kubernetes, contenant une correction de ce problème. Les clients qui utilisent AWS IAM Authenticator for Kubernetes dans Amazon EKS n'ont aucune mesure à prendre pour se protéger. Les clients qui hébergent et gèrent leurs propres clusters Kubernetes et qui utilisent le paramètre de modèle « AccessKeyID » du plugin d'authentification doivent mettre à jour AWS IAM Authenticator for Kubernetes vers la version 0.5.9.
Nous tenons à remercier Lightspin d'avoir signalé ce problème.
Les questions ou préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com.