Problema di sicurezza con Kubernetes (CVE-2019-11249)

Ultimo aggiornamento: 15 agosto 2019, 09:00 PDT

Identificatore CVE: CVE-2019-11249

AWS è al corrente di un problema di sicurezza (CVE-2019-11249) che risolve correzioni incomplete per CVE-2019-1002101 e CVE-2019-11246. Come nel caso dei suddetti CVE, il problema risiede nello strumento kubectl di Kubernetes che potrebbe permettere a un container dannoso di sostituire o creare file in una workstation dell'utente.

Qualora un utente dovesse utilizzare un container non affidabile che contiene una versione dannosa del comando tar ed eseguire l'operazione kubectl cp, il file binario kubectl che apre il file tar potrebbe sovrascrivere o creare file in una workstation dell'utente.

I clienti AWS dovrebbero evitare di utilizzare container non affidabili. Qualora i clienti utilizzassero un container non affidabile e impiegassero lo strumento kubectl per gestire i loro cluster Kubernetes, dovrebbero evitare di eseguire il comando kubectl cp attraverso le versioni interessate ed effettuare l'aggiornamento all'ultima versione kubectl.

Aggiornamento di Kubectl

Amazon Elastic Kubernetes Service (EKS) vende attualmente kubectl, scaricabile dai clienti dal bucket S3 del servizio EKS. Per le istruzioni di download e istallazione, consulta la Guida per l'utente EKS. I clienti possono eseguire il comando "kubectl version --client" per sapere quale versione stanno utilizzando.

Per una lista delle versioni kubectl interessate dal problema e le versioni a cui consigliamo di eseguire l'aggiornamento, fai riferimento alla seguente tabella:

AMI ottimizzate per EKS

Le AMI ottimizzate per EKS non contengono più kubectl dalla versione v20190701. I clienti che eseguono v20190701 o versioni più recenti non sono interessati dal problema e non sono richiesti interventi. I clienti che eseguono un'AMI EKS precedente dovrebbero aggiornarla all'ultima versione.

CVE-2019-11246 è stato affrontato in AWS-2019-006.