2 de julho de 2019 14:00 PDT
Identificador de CVE: CVE-2019-11246
A AWS está ciente de um problema de segurança (CVE-2019-11246) na ferramenta Kubernetes kubectl que pode permitir que um contêiner malicioso substitua ou crie arquivos na estação de trabalho do usuário.
Se um usuário executar um contêiner não confiável contendo uma versão mal-intencionada do comando tar e executar a operação kubectl cp, o binário kubectl que descompactar o arquivo tar poderá sobrescrever ou criar arquivos na estação de trabalho do usuário.
Os clientes da AWS devem evitar o uso de contêineres não confiáveis. Se os clientes usarem um contêiner não confiável e usarem a ferramenta kubectl para gerenciar seus clusters Kubernetes, deverão evitar executar o comando kubectl cp usando as versões afetadas e atualizar para a versão mais recente do kubectl.
Atualizando o Kubectl
Atualmente, a AWS vende o kubectl para os clientes fazerem o download no bucket do serviço EKS S3, além de enviar o binário na nossa AMI gerenciada.
1.10.x: as versões do kubectl fornecidas pela AWS 1.10.13 ou anterior são afetadas. Recomendamos que você atualize para o kubectl versão 1.11.10.
1.11.x: as versões do kubectl fornecidas pela AWS 1.11.9 ou anterior são afetadas. Recomendamos que você atualize para o kubectl versão 1.11.10.
1.12.x: as versões do kubectl fornecidas pela AWS 1.12.7 ou anterior são afetadas. Recomendamos que você atualize para o kubectl versão 1.12.9.
1.13.x: kubectl 1.13.7 fornecido pela AWS não é afetado.
AMIs otimizadas para EKS
As AMIs otimizadas para EKS para Kubernetes versões 1.10.13, 1.11.9 e 1.12.7 atualmente contêm versões afetadas do kubectl.
Novas versões das AMIs otimizadas para EKS serão lançadas hoje e não incluirão mais o binário kubectl. O EKS AMI não depende do binário kubectl e foi fornecido anteriormente como uma conveniência. Os clientes que contam com a presença do kubectl na AMI precisarão instalá-lo quando atualizarem para a nova AMI. Enquanto isso, os usuários devem atualizar a versão do kubectl manualmente em qualquer instanciação em execução da AMI antes de usá-la.