2 กรกฎาคม 2019 14:00 น. PDT
ตัวระบุ CVE: CVE-2019-11246
AWS ตระหนักถึงปัญหาด้านความปลอดภัย (CVE-2019-11246) ในเครื่องมือ Kubectl ของ Kubernetes ซึ่งสามารถให้คอนเทนเนอร์ที่เป็นภัยคุกคามมาแทนที่หรือสร้างไฟล์บนเวิร์กสเตชันของผู้ใช้
หากผู้ใช้เรียกใช้คอนเทนเนอร์ที่ไม่น่าเชื่อถือซึ่งมีเวอร์ชันของคำสั่ง tar ที่เป็นภัยคุกคามและดำเนินการปฏิบัติการคำสั่ง kubectl cp ไบนารี Kubectl ที่แยกไฟล์นามสกุล tar สามารถเขียนทับหรือสร้างไฟล์บนเวิร์กสเตชันชองผู้ใช้ได้
ลูกค้า AWS ควรงดใช้คอนเทนเนอร์ที่ไม่น่าเชื่อถือ หากลูกค้าใช้คอนเทนเนอร์ที่ไม่น่าเชื่อถือและใช้เครื่องมือ Kubectl เพื่อจัดการคลัสเตอร์ Kubernetes ของตน ลูกค้าควรงดใช้งานคำสั่ง kubectl cp ด้วยเวอร์ชันที่ได้รับผลกระทบ และอัปเดต Kubectl เป็นเวอร์ชันล่าสุด
การอัปเดต Kubectl
ขณะนี้ AWS จำหน่าย Kubectl ให้ลูกค้าดาวน์โหลดใน บริการ EKS ของบัคเก็ต S3 พร้อมกับส่งข้อมูลแบบไบนารีใน AMI ที่มีการจัดการ ของเรา
1.10.x: Kubectl ที่จำหน่ายโดย AWS เวอร์ชัน 1.10.13 หรือก่อนหน้าได้รับผลกระทบ เราขอแนะนำให้คุณอัปเดต Kubectl เป็นเวอร์ชัน 1.11.10
1.11.x: Kubectl ที่จำหน่ายโดย AWS เวอร์ชัน 1.11.9 หรือก่อนหน้าได้รับผลกระทบ เราขอแนะนำให้คุณอัปเดต Kubectl เป็นเวอร์ชัน 1.11.10
1.12.x: Kubectl ที่จำหน่ายโดย AWS เวอร์ชัน 1.12.7 หรือก่อนหน้าได้รับผลกระทบ เราขอแนะนำให้คุณอัปเดต Kubectl เป็นเวอร์ชัน 1.12.9
1.13.x: Kubectl ที่จำหน่ายโดย AWS เวอร์ชัน 1.13.7 ไม่ได้รับผลกระทบ
AMI ที่ปรับให้เหมาะสมกับ EKS
AMI ที่ปรับให้เหมาะสมกับ EKS สำหรับ Kubernetes เวอร์ชัน 1.10.13, 1.11.9, และ 1.12.7 ขณะนี้มี Kubectl เวอร์ชันที่ได้รับผลกระทบ
เวอร์ชันใหม่ของ AMI ที่ปรับให้เหมาะสมกับ EKS จะพร้อมให้ใช้งานวันนี้และจะไม่มีไบนารี Kubectl อีกต่อไป EKS AMI ไม่ได้พึ่งพาไบนารี Kubectl เครื่องมือดังกล่าวใส่ไว้ในเวอร์ชันก่อนหน้าเพื่อความสะดวก ลูกค้าที่พึ่งพา Kubectl ที่ใส่มาใน AMI จะต้องติดตั้งด้วยตนเองเมื่ออัปเกรดเป็น AMI ใหม่ ในขณะเดียวกัน ผู้ใช้ควรอัปเดตเวอร์ชัน Kubectl ด้วยตนเองบนอินแสตนซ์ที่ใช้ AMI ใดๆ ที่สร้างขึ้นและใช้งานอยู่ก่อนเรียกใช้เครื่องมือดังกล่าว