Masalah Keamanan Kubernetes (CVE-2019-11249)

Pembaruan Terakhir: 15 Agustus 2019 09.00 PDT

Pengidentifikasi CVE: CVE-2019-11249

AWS mengetahui adanya masalah keamanan (CVE-2019-11249) yang mengatasi perbaikan yang tidak lengkap untuk CVE-2019-1002101 dan CVE-2019-11246. Seperti CVE yang disebutkan sebelumnya, masalahnya ada pada alat kubectl Kubernetes yang dapat memungkinkan kontainer berbahaya mengganti atau membuat file di stasiun kerja pengguna.

Jika pengguna telah menjalankan kontainer tak tepercaya yang berisi versi perintah tar berbahaya dan mengeksekusi operasi kubectl cp, biner kubectl yang membongkar file tar dapat menimpa atau membuat file di stasiun kerja pengguna.

Pelanggan AWS harus menahan diri untuk tidak menggunakan kontainer yang tak tepercaya. Jika pelanggan menggunakan kontainer tak tepercaya dan menggunakan alat kubectl untuk mengelola klaster Kubernetes, mereka harus menahan diri untuk tidak menjalankan perintah kubectl cp yang menggunakan versi yang terdampak dan memperbarui ke versi kubectl terbaru.

Memperbarui Kubectl

Amazon Elastic Kubernetes Service (EKS) saat ini menyediakan kubectl yang dapat diunduh pelanggan dari bucket S3 layanan EKS. Instruksi pengunduhan dan penginstalan dapat ditemukan di Panduan Pengguna EKS. Pelanggan dapat menjalankan perintah "versi kubectl --klien" untuk mengetahui versi yang mereka gunakan.

Untuk daftar versi kubectl yang terdampak, dan versi tujuan pembaruan yang kami rekomendasikan, harap lihat tabel di bawah ini:

AMI yang dioptimalkan EKS

AMI yang dioptimalkan EKS untuk Kubernetes pada versi v20190701 tidak lagi berisi kubectl. Pelanggan yang menjalankan v20190701 atau lebih baru tidak terdampak, dan tindakan tidak diperlukan. Pelanggan yang menjalankan AMI EKS versi sebelumnya harus memperbarui ke AMI EKS terbaru.

CVE-2019-11246 diatasi di AWS-2019-006.