Problema de segurança do Kubernetes (CVE-2019-11249)

Ultima atualização: 15 de agosto de 2019 9:00 PDT

Identificador de CVE: CVE-2019-11249

A AWS está ciente de um problema de segurança (CVE-2019-11249) que resolve correções incompletas para CVE-2019-1002101 e CVE-2019-11246. Como os CVEs mencionados acima, o problema está na ferramenta Kubernetes kubectl, que pode permitir que um contêiner malicioso substitua ou crie arquivos na estação de trabalho do usuário.

Se um usuário executar um contêiner não confiável contendo uma versão mal-intencionada do comando tar e executar a operação kubectl cp, o binário kubectl que descompactar o arquivo tar poderá sobrescrever ou criar arquivos na estação de trabalho do usuário.

Os clientes da AWS devem evitar o uso de contêineres não confiáveis. Se os clientes usarem um contêiner não confiável e usarem a ferramenta kubectl para gerenciar seus clusters Kubernetes, deverão evitar executar o comando kubectl cp usando as versões afetadas e atualizar para a versão mais recente do kubectl.

Atualizando o Kubectl

No momento, o Amazon Elastic Kubernetes Service (EKS) vende o kubectl para os clientes fazerem download do bucket do serviço EKS S3. As instruções de download e instalação podem ser encontradas no Guia do usuário do EKS. Os clientes podem executar o comando "kubectl version --client" para descobrir qual versão eles estão usando.

Para obter uma lista das versões afetadas do kubectl e das versões recomendadas para as quais recomendamos a atualização, consulte a tabela abaixo:

AMIs otimizadas para EKS

As AMIs otimizadas para EKS para Kubernetes na versão v20190701 não contêm mais o kubectl. Os clientes que executam a v20190701 ou mais recente não são afetados e nenhuma ação é necessária. Os clientes que executam uma versão anterior do EKS AMI devem atualizar para o EKS AMI mais recente.

O CVE-2019-11246 foi abordado no AWS-2019-006.