최종 업데이트: 2019년 8월 15일 9:00 AM PDT
CVE 식별자: CVE-2019-11249
AWS에서는 CVE-2019-1002101 및 CVE-2019-11246의 불완전한 수정 사항을 해결하는 보안 문제(CVE-2019-11249)에 관해 잘 인지하고 있습니다. 앞서 언급한 CVE와 마찬가지로, 문제는 Kubernetes kubectl 도구에서 악성 컨테이너가 사용자의 워크스테이션에서 파일을 대체하거나 생성하도록 허용할 수 있다는 점입니다.
사용자가 tar 명령의 악성 버전을 포함한 신뢰할 수 없는 컨테이너를 실행하여 kubectl cp 작업을 실행하는 경우, tar 파일의 패키지 압축을 푸는 kubectl 이진수가 사용자의 워크스테이션에 파일을 덮어쓰거나 생성할 수 있습니다.
AWS 고객은 신뢰할 수 없는 컨테이너 사용을 피하시기 바랍니다. 고객이 신뢰할 수 없는 컨테이너를 사용하고 kubectl 도구를 사용하여 Kubernetes 클러스터를 관리하는 경우, 영향받은 버전을 사용하여 kubectl cp 명령을 실행하지 마시고 최신 kubectl 버전으로 업데이트해야 합니다.
Kubectl 업데이트
현재 Amazon Elastic Kubernetes Service(EKS)를 통해 EKS 서비스 S3 버킷에서 kubectl을 다운로드할 수 있습니다. 다운로드 및 설치 지침은 EKS Userguide에서 확인할 수 있습니다. 현재 고객이 사용 중인 버전을 알아보려면 "kubectl version --client" 명령을 실행할 수 있습니다.
영향받는 kubectl 버전 목록 및 업데이트를 권장하는 버전을 알아보려면 아래 표를 참조하시기 바랍니다.
| AWS에서 제공한 kubectl 버전 | 영향받는 버전 |
권장 버전 |
|---|---|---|
| 1.10.x | 1.10.13 이전 | v1.11.10-eks-2ae91d |
| 1.11.x | 1.11.10 이전 |
v1.11.10-eks-2ae91d |
| 1.12.x | 1.12.9 이전 | v1.12.9-eks-f01a84 |
| 1.13.x | 1.13.7 이전 |
v1.13.7-eks-fa4c70 |
EKS-optimized AMI
Kubernetes용 EKS-optimized AMI(버전 v20190701)에는 더 이상 kubectl이 포함되지 않습니다. v20190701 이후 버전을 실행하는 고객에게는 아무런 영향이 없으며 별다른 조치를 하지 않아도 됩니다. EKS AMI 이전 버전을 실행하는 고객의 경우 최신 EKS AMI로 업데이트해야 합니다.
CVE-2019-11246은 AWS-2019-006에서 다루었습니다.