2 luglio 2019, 14:00 PDT
Identificatore CVE: CVE-2019-11246
AWS è al corrente di un problema di sicurezza (CVE-2019-11246) nello strumento kubectl di Kubernetes che potrebbe permettere a un container dannoso di sostituire o creare file in una workstation dell'utente.
Qualora un utente dovesse utilizzare un container non affidabile che contiene una versione dannosa del comando tar ed eseguire l'operazione kubectl cp, il file binario kubectl che apre il file tar potrebbe sovrascrivere o creare file in una workstation dell'utente.
I clienti AWS dovrebbero evitare di utilizzare container non affidabili. Qualora i clienti utilizzassero un container non affidabile e impiegassero lo strumento kubectl per gestire i loro cluster Kubernetes, dovrebbero evitare di eseguire il comando kubectl cp attraverso le versioni interessate ed effettuare l'aggiornamento all'ultima versione kubectl.
Aggiornamento di Kubectl
AWS vende attualmente kubectl, scaricabile dai clienti nei bucket S3 del servizio EKS, nonché la distribuzione del binario nella nostra AMI gestita.
1.10.x: le versioni 1.10.13 o precedenti di kubectl vendute da AWS sono interessate dal problema. Consigliamo di effettuare l'aggiornamento alla versione 1.11.10 di kubectl.
1.11.x: le versioni 1.11.9 o precedenti di kubectl vendute da AWS sono interessate dal problema. Consigliamo di effettuare l'aggiornamento alla versione 1.11.10 di kubectl.
1.12.x: le versioni 1.12.7 o precedenti di kubectl vendute da AWS sono interessate dal problema. Consigliamo di effettuare l'aggiornamento alla versione 1.12.9 di kubectl.
1.13.x: kubectl 1.13.7 venduto da AWS non è interessato dal problema.
AMI ottimizzate per EKS
Le AMI ottimizzate per EKS per le versioni 1.10.13, 1.11.9 e 1.12.7 di Kubernetes contengono attualmente versioni di kubectl interessate dal problema.
Oggi verranno rilasciate nuove versione delle AMI ottimizzate per EKS e non includeranno più il file binario kubectl. L'AMI EKS non si basa sul file binario kubectl, fornito in precedenza per comodità. I clienti che si basano su kubectl presente nell'AMI dovranno installarlo autonomamente quando effettuano l'aggiornamento alla nuova AMI. Nel contempo, gli utenti dovrebbero aggiornare manualmente la versione di kubectl su qualsiasi creazione di istanza dell'AMI in esecuzione prima di utilizzarla.