Последнее обновление: 15 августа 2019 г., 9:00 по тихоокеанскому времени
Идентификатор CVE: CVE-2019-11249
Команде AWS известно о проблеме с безопасностью (CVE-2019-11249), которую частично устраняют исправления для CVE-2019-1002101 и CVE-2019-11246. Как и в случае с вышеупомянутыми CVE, эта проблема связана с инструментом kubectl в Kubernetes, из-за которого вредоносный контейнер может заменять или создавать файлы на рабочей станции пользователя.
Если пользователь запускает контейнер с вредоносной версией TAR-команды и выполняет операцию kubectl cp, двоичный код kubectl распаковывает TAR-файл, который может перезаписывать или создавать файлы на рабочей станции пользователя.
Клиентам AWS необходимо исключить использование недоверенных контейнеров. Если клиенты используют недоверенные контейнеры и управляют своими кластерами Kubernetes с помощью инструмента kubectl, им следует воздержаться от выполнения команды kubectl cp при использовании версий, которых касается эта проблема, и обновить kubectl до последней версии.
Обновление Kubectl
На данный момент клиенты Amazon Elastic Kubernetes Service (EKS) могут скачать kubectl из корзины S3 сервиса EKS. Инструкции по загрузке и установке см. в Руководстве пользователя по EKS. Чтобы определить используемую версию, пользователи могут выполнить команду «kubectl version --client».
Список затронутых и рекомендованных для обновления версий kubectl приведен в таблице ниже.
Версия kubectl от AWS | Затронутые версии |
Рекомендованная версия |
---|---|---|
1.10.x | 1.10.13 и ранее | v1.11.10-eks-2ae91d |
1.11.x | 1.11.10 и ранее |
v1.11.10-eks-2ae91d |
1.12.x | 1.12.9 и ранее | v1.12.9-eks-f01a84 |
1.13.x | 1.13.7 и ранее |
v1.13.7-eks-fa4c70 |
Образы AMI с оптимизацией для EKS
Оптимизированные для EKS образы AMI для Kubernetes, начиная с версии v20190701, больше не содержат kubectl. На клиентов, использующих версию v20190701 или новее, это не повлияет, и от них не требуется дополнительных действий. Клиентам, использующим предыдущую версию образов AMI EKS, необходимо обновить их до последней версии.
Проблема CVE-2019-11246 описана в бюллетене AWS-2019-006.