Последнее обновление: 15 августа 2019 г., 9:00 по тихоокеанскому времени

Идентификатор CVE: CVE-2019-11249

Команде AWS известно о проблеме с безопасностью (CVE-2019-11249), которую частично устраняют исправления для CVE-2019-1002101 и CVE-2019-11246. Как и в случае с вышеупомянутыми CVE, эта проблема связана с инструментом kubectl в Kubernetes, из-за которого вредоносный контейнер может заменять или создавать файлы на рабочей станции пользователя.

Если пользователь запускает контейнер с вредоносной версией TAR-команды и выполняет операцию kubectl cp, двоичный код kubectl распаковывает TAR-файл, который может перезаписывать или создавать файлы на рабочей станции пользователя.

Клиентам AWS необходимо исключить использование недоверенных контейнеров. Если клиенты используют недоверенные контейнеры и управляют своими кластерами Kubernetes с помощью инструмента kubectl, им следует воздержаться от выполнения команды kubectl cp при использовании версий, которых касается эта проблема, и обновить kubectl до последней версии.

Обновление Kubectl

На данный момент клиенты Amazon Elastic Kubernetes Service (EKS) могут скачать kubectl из корзины S3 сервиса EKS. Инструкции по загрузке и установке см. в Руководстве пользователя по EKS. Чтобы определить используемую версию, пользователи могут выполнить команду «kubectl version --client».

Список затронутых и рекомендованных для обновления версий kubectl приведен в таблице ниже.

Версия kubectl от AWS Затронутые версии
Рекомендованная версия
1.10.x 1.10.13 и ранее v1.11.10-eks-2ae91d
1.11.x 1.11.10 и ранее
v1.11.10-eks-2ae91d
1.12.x 1.12.9 и ранее v1.12.9-eks-f01a84
1.13.x 1.13.7 и ранее
v1.13.7-eks-fa4c70

Образы AMI с оптимизацией для EKS

Оптимизированные для EKS образы AMI для Kubernetes, начиная с версии v20190701, больше не содержат kubectl. На клиентов, использующих версию v20190701 или новее, это не повлияет, и от них не требуется дополнительных действий. Клиентам, использующим предыдущую версию образов AMI EKS, необходимо обновить их до последней версии.

Проблема CVE-2019-11246 описана в бюллетене AWS-2019-006.