2019년 7월 2일 2:00 PM PDT
CVE 식별자: CVE-2019-11246
AWS에서는 Kubernetes kubectl 도구에서 악성 컨테이너가 사용자의 워크스테이션에서 파일을 대체하거나 생성하도록 허용할 수 있다는 보안 문제(CVE-2019-11246)을 잘 인지하고 있습니다.
사용자가 tar 명령의 악성 버전을 포함한 신뢰할 수 없는 컨테이너를 실행하여 kubectl cp 작업을 실행하는 경우, tar 파일의 패키지 압축을 푸는 kubectl 이진수가 사용자의 워크스테이션에 파일을 덮어쓰거나 생성할 수 있습니다.
AWS 고객은 신뢰할 수 없는 컨테이너 사용을 피하시기 바랍니다. 고객이 신뢰할 수 없는 컨테이너를 사용하고 kubectl 도구를 사용하여 Kubernetes 클러스터를 관리하는 경우, 영향받은 버전을 사용하여 kubectl cp 명령을 실행하지 마시고 최신 kubectl 버전으로 업데이트해야 합니다.
Kubectl 업데이트
AWS에서는 현재 고객이 EKS 서비스 S3 버킷에서 kubectl을 다운로드하고, 당사 관리형 AMI로 이진수를 배송할 수 있도록 서비스를 제공하고 있습니다.
1.10.x: AWS 1.10.13 이전 버전으로 제공한 kubectl 버전이 영향을 받습니다. kubectl 버전 1.11.10으로 업데이트하시기 바랍니다.
1.11.x: AWS 1.11.9 이전 버전으로 제공한 kubectl 버전이 영향을 받습니다. kubectl 버전 1.11.10으로 업데이트하시기 바랍니다.
1.12.x: AWS 1.12.7 이전 버전으로 제공한 kubectl 버전이 영향을 받습니다. kubectl 버전 1.12.9로 업데이트하시기 바랍니다.
1.13.x: AWS에서 제공한 kubectl 1.13.7에는 아무런 영향이 없습니다.
EKS-optimized AMI
Kubernetes 버전 1.10.13, 1.11.9 및 1.12.7용 EKS-optimized AMI에 현재 영향받은 kubectl 버전을 포함하고 있습니다.
오늘 EKS-optimized AMI의 새 버전을 출시할 계획이며 이 버전에는 더 이상 kubectl 이진수를 포함하지 않습니다. EKS AMI는 kubectl 이진수에 의존하지 않으며, 이전에도 편의상 제공된 것일 뿐입니다. AMI에 포함된 kubectl에 의존하는 고객은 새 AMI로 업그레이드할 때 이를 직접 설치해야 합니다. 그때까지는 AMI의 실행 중인 인스턴스화에서 kubectl 버전을 수동으로 업데이트한 후 사용해야 합니다.