2 июля 2019 г., 14:00 по тихоокеанскому времени
Идентификатор CVE: CVE-2019-11246
Команде AWS известно о проблеме с безопасностью (CVE-2019-11246), связанной с инструментом kubectl в Kubernetes, из-за которого вредоносный контейнер может заменять или создавать файлы на рабочей станции пользователя.
Если пользователь запускает контейнер с вредоносной версией TAR-команды и выполняет операцию kubectl cp, двоичный код kubectl распаковывает TAR-файл, который может перезаписывать или создавать файлы на рабочей станции пользователя.
Клиентам AWS необходимо исключить использование недоверенных контейнеров. Если клиенты используют недоверенные контейнеры и управляют своими кластерами Kubernetes с помощью инструмента kubectl, им следует воздержаться от выполнения команды kubectl cp при использовании версий, которых касается эта проблема, и обновить kubectl до последней версии.
Обновление Kubectl
На данный момент клиенты AWS могут скачать kubectl из корзины S3 сервиса EKS, а также отправить бинарный код в наш управляемый AMI.
1.10.x: проблема влияет на kubectl от AWS версии 1.10.13 или ранее. Мы рекомендуем обновить kubectl до версии 1.11.10.
1.11.x: проблема влияет на kubectl от AWS версии 1.11.9 или ранее. Мы рекомендуем обновить kubectl до версии 1.11.10.
1.12.x: проблема влияет на kubectl от AWS версии 1.12.7 или ранее. Мы рекомендуем обновить kubectl до версии 1.12.9.
1.13.x: kubectl версии 1.13.7 от AWS это не касается.
Образы AMI с оптимизацией для EKS
Оптимизированные для EKS образы AMI для Kubernetes версий 1.10.13, 1.11.9 и 1.12.7 на данный момент содержат затронутые версии kubectl.
Новые версии образов AMI с оптимизацией для EKS будут выпущены сегодня и больше не будут включать бинарный код kubectl. Образы AMI EKS не зависят от бинарного кода kubectl. Ранее его предоставляли для удобства. Клиенты, которым нужен kubectl в образах AMI, необходимо будет установить его самостоятельно после обновления AMI. Тем временем пользователям необходимо вручную обновить версию kubectl во всех работающих установках образов AMI, прежде чем использовать их.