2 Juli 2019 14.00 PDT
Pengidentifikasi CVE: CVE-2019-11246
AWS mengetahui adanya masalah keamanan (CVE-2019-11246) pada alat kubectl Kubernetes yang dapat memungkinkan kontainer berbahaya mengganti atau membuat file di stasiun kerja pengguna.
Jika pengguna telah menjalankan kontainer tak tepercaya yang berisi versi perintah tar berbahaya dan mengeksekusi operasi kubectl cp, biner kubectl yang membongkar file tar dapat menimpa atau membuat file di stasiun kerja pengguna.
Pelanggan AWS harus menghindari menggunakan kontainer yang tak tepercaya. Jika pelanggan menggunakan kontainer tak tepercaya dan menggunakan alat kubectl untuk mengelola klaster Kubernetes, mereka harus menghindari menjalankan perintah kubectl cp yang menggunakan versi yang terdampak dan memperbarui ke versi kubectl terbaru.
Memperbarui Kubectl
Saat ini AWS menyediakan kubectl yang dapat diunduh pelanggan di bucket S3 layanan EKS, serta pengiriman biner di AMI terkelola kami.
1.10.x: Versi kubectl yang disediakan oleh AWS 1.10.13 atau versi lebih baru terdampak. Kami menyarankan Anda untuk memperbarui ke kubectl versi 1.11.10.
1.11.x: Versi kubectl yang disediakan oleh AWS 1.11.9 atau versi lebih baru terdampak. Kami menyarankan Anda untuk memperbarui ke kubectl versi 1.11.10.
1.12.x: Versi kubectl yang disediakan oleh AWS 1.12.7 atau versi lebih baru terdampak. Kami menyarankan Anda untuk memperbarui ke kubectl versi 1.12.9.
1.13.x: kubectl 1.13.7 yang disediakan oleh AWS tidak terdampak.
AMI yang dioptimalkan EKS
AMI yang dioptimalkan EKS untuk Kubernetes versi 1.10.13, 1.11.9, dan 1.12.7 saat ini berisi versi kubectl yang terdampak.
Versi baru AMI yang dioptimalkan EKS akan dirilis hari ini dan tidak lagi akan meliputi biner kubectl. AMI EKS tidak mengandalkan biner kubectl dan disediakan sebelumnya agar lebih mudah. Pelanggan yang mengandalkan kubectl yang saat ini tersedia di AMI harus menginstalnya sendiri saat melakukan peningkatan ke AMI baru. Sementara itu, pengguna harus memperbarui versi kubectl secara manual di instansiasi AMI yang beroperasi sebelum menggunakannya.