Data di pubblicazione iniziale: 11/07/2022 9:00 PST
Un ricercatore sulla sicurezza ha recentemente segnalato un problema con AWS IAM Authenticator per Kubernetes, utilizzato da Amazon Elastic Kubernetes Service (EKS). Il ricercatore ha identificato un problema di convalida dei parametri di query all'interno del plugin dell’autenticatore quando è configurato per utilizzare il parametro modello "AccessKeyID" nelle stringhe di query. Questo problema avrebbe potuto consentire a un aggressore esperto di aumentare i privilegi all'interno di un cluster Kubernetes. Tale problema non interessa i clienti che non utilizzano il parametro "AccessKeyID".
A partire dal 28 giugno 2022, tutti i cluster EKS nel mondo sono stati aggiornati con una nuova versione di AWS IAM Authenticator per Kubernetes, contenente una correzione relativa a questo problema. I clienti che utilizzano AWS IAM Authenticator per Kubernetes all'interno di Amazon EKS non devono intraprendere alcuna azione per proteggersi. I clienti che ospitano e gestiscono i propri cluster Kubernetes e che utilizzano il parametro modello "AccessKeyID" del plugin dell’autenticatore, devono aggiornare AWS IAM Authenticator per Kubernetes alla versione 0.5.9.
Vorremmo ringraziare Lightspin per aver segnalato questo problema.
È possibile inviare domande o segnalare dubbi relativi alla sicurezza all'indirizzo e-mail aws-security@amazon.com.