最終更新日: 2019 年 8 月 15 日 9:00 AM PDT
CVE識別子: CVE-2019-11249
AWS は、CVE-2019-1002101 および CVE-2019-11246 の不完全な修正を解決するセキュリティ問題 (CVE-2019-11249) を認識しています。前述の CVE と同様に、問題は Kubernetes kubectl ツールにあり、悪意のあるコンテナがユーザーのワークステーションでファイルを置換または作成できる可能性があります。
ユーザーが悪意のあるバージョンの tar コマンドを含む信頼できないコンテナを実行して kubectl cp 操作を実行すると、tar ファイルを解凍する kubectl バイナリがユーザーのワークステーションでファイルを上書きまたは作成する可能性があります。
AWS のお客様は、信頼できないコンテナの使用を控えてください。信頼できないコンテナを使用し、kuberctl ツールを使用して Kubernetes クラスターを管理する場合、影響を受けるバージョンを使用して kubectl cp コマンドを実行することを控え、最新の kubectl バージョンに更新する必要があります。
更新日時
Amazon Elastic Kubernetes Service(EKS)は現在、顧客が EKS サービス S3 バケットからダウンロードできるように kubectl を提供しています。ダウンロードとインストールの手順は、EKS Userguide にあります。お客様は、コマンド「kubectl version --client」を実行して、使用しているバージョンを検出できます。
影響を受ける kubectl バージョンのリスト、および更新を推奨する推奨バージョンについては、以下の表を参照してください。
| AWS で販売された kubectl バージョン | 影響を受けるバージョン |
推奨バージョン |
|---|---|---|
| 1.10.x | 1.10.13 以前 | v1.11.10-eks-2ae91d |
| 1.11.x | 1.11.10 以前 |
v1.11.10-eks-2ae91d |
| 1.12.x | 1.12.9 以前 | v1.12.9-eks-f01a84 |
| 1.13.x | 1.13.7 以前 |
v1.13.7-eks-fa4c70 |
EKS-最適化 AMI
バージョン v20190701 の Kubernetes の EKS 最適化 AMI には kubectl が含まれなくなりました。v20190701 以降を実行しているお客様は影響を受けず、アクションは不要です。EKS AMI の以前のバージョンを実行しているお客様は、最新の EKS AMI に更新する必要があります。
CVE-2019-11246 はAWS-2019-006で対処されました。