初版発行日: 2022 年 7 月 11 日 9 時 (PST)
最近、あるセキュリティ研究者から、Amazon Elastic Kubernetes Service (EKS) によって使用される AWS IAM Authenticator for Kubernetes の問題が報告されました。この研究者は、クエリ文字列内で「AccessKeyID」テンプレートパラメータを使用するように設定した際に、オーセンティケーターのプラグイン内においてクエリパラメータの検証の問題を特定しました。この問題により、知識のある攻撃者が Kubernetes クラスター内で権限を昇格できていた可能性があります。「AccessKeyID」パラメータを使用しないお客様は、この問題の影響を受けません。
2022 年 6 月 28 日の時点で、世界中のすべての EKS クラスターが、この問題の修正を含む新しいバージョンの AWS IAM Authenticator for Kubernetes で更新されています。Amazon EKS 内で AWS IAM Authenticator for Kubernetes を使用するお客様に関しては、対策として何らかの操作を行っていただく必要はありません。独自の Kubernetes クラスターをホストおよび管理し、オーセンティケーターのプラグインの「AccessKeyID」テンプレートパラメータを使用するお客様は、AWS IAM Authenticator for Kubernetes をバージョン 0.5.9 に更新する必要があります。
この問題をご報告いただいた Lightspin に感謝いたします。
セキュリティ関連の質問または懸念事項については、aws-security@amazon.com までご連絡ください。