2019 年 7 月 2 日 2:00 PM PDT

CVE識別子: CVE-2019-11246

AWS は、Kubernetes kubectl ツールのセキュリティ問題 (CVE-2019-11246) を認識しており、悪意のあるコンテナがユーザーのワークステーションでファイルを置換または作成できる可能性があります。

ユーザーが悪意のあるバージョンの tar コマンドを含む信頼できないコンテナを実行して kubectl cp 操作を実行すると、tar ファイルを解凍する kubectl バイナリがユーザーのワークステーションでファイルを上書きまたは作成する可能性があります。

AWS のお客様は、信頼できないコンテナの使用を控えてください。信頼できないコンテナを使用し、kuberctl ツールを使用して Kubernetes クラスターを管理する場合、影響を受けるバージョンを使用して kubectl cp コマンドを実行することを控え、最新の kubectl バージョンに更新する必要があります。

更新日時
AWS は現在、お客様がEKS サービス S3 バケットでダウンロードできるように kubectl を提供し、マネージド AMIでバイナリを出荷しています。

1.10.x: AWS 1.10.13 以前で販売されている kubectl のバージョンが影響を受けます。kubectl バージョン 1.11.10 に更新することをお勧めします。

1.11.x: AWS 1.11.9 以前で販売されている kubectl のバージョンが影響を受けます。kubectl バージョン 1.11.10。に更新することをお勧めします。

1.12.x: AWS 1.12.7 以前で販売されている kubectl のバージョンが影響を受けます。 kubectl バージョン 1.12.9 に更新することをお勧めします。

1.13.x: AWS が提供する kubectl 1.13.7 は影響を受けません。

EKS-最適化 AMI
Kubernetes バージョン 1.10.13、1.11.9、および 1.12.7 の EKS 最適化 AMI には、現在、影響を受けるバージョンの kubectl が含まれています。

EKS に最適化された AMI の新しいバージョンが本日リリースされ、kubectl バイナリは含まれなくなります。EKS AMI は kubectl バイナリに依存せず、以前は利便性のために提供されていました。AMI に存在する kubectl に依存しているお客様は、新しい AMI にアップグレードする際に kubectl を自分でインストールする必要があります。それまでの間、ユーザーは、AMI を使用する前に、AMI の実行中のインスタンス化で kubectl バージョンを手動で更新する必要があります。