อัปเดตล่าสุด: 15 สิงหาคม 2019 9:00 น. PDT
ตัวระบุ CVE: CVE-2019-11249
AWS ตระหนักถึงปัญหาด้านความปลอดภัย (CVE-2019-11249) ซึ่งเกี่ยวข้องกับการแก้ไขที่ไม่สมบูรณ์สำหรับ CVE-2019-1002101 และ CVE-2019-11246 เช่นเดียวกับ CVE ที่กล่าวไว้ข้างต้น ปัญหานี้เกิดจากเครื่องมือ Kubectl ของ Kubernetes ที่สามารถให้คอนเทนเนอร์ที่เป็นภัยคุกคามมาแทนที่หรือสร้างไฟล์บนเวิร์กสเตชันของผู้ใช้ได้
หากผู้ใช้เรียกใช้งานคอนเทนเนอร์ที่ไม่น่าเชื่อถือซึ่งมีคำสั่ง tar เวอร์ชันที่เป็นภัยคุกคามและดำเนินการปฏิบัติการคำสั่ง kubectl cp เครื่องมือบรรทัดคำสั่ง ไบนารี Kubectl ที่แยกไฟล์นามสกุล tar สามารถเขียนทับหรือสร้างไฟล์บนเวิร์กสเตชันของผู้ใช้ได้
ลูกค้า AWS ควรงดใช้คอนเทนเนอร์ที่ไม่น่าเชิ่อถือ หากลูกค้าใช้คอนเทนเนอร์ที่ไม่น่าเชื่อถือและใช้เครื่องมือ Kubectl เพื่อจัดการคลัสเตอร์ Kubernetes ลูกค้าควรงดใช้งานคำสั่ง kubectl cp เวอร์ชันที่ได้รับผลกระทบและอัปเดต Kubectl เป็นเวอร์ชันล่าสุด
การอัปเดต Kubectl
ขณะนี้ Amazon Elastic Kubernetes Service (EKS) จำหน่าย Kubectl ให้ลูกค้าดาวน์โหลดจากบริการ EKS ของบัคเก็ต S3 คำแนะนำการดาวน์โหลดและติดตั้งสามารถดูที่ คู่มือผู้ใช้ EKS ลูกค้าสามารถเรียกใช้คำสั่ง "kubectl version --client" เพื่อค้นดูว่าตนใช้เวอร์ชันใดอยู่
สำหรับรายการเวอร์ชันของ Kubectl ที่ได้รับผลกระทบและเวอร์ชันแนะนำที่เราแนะนำให้อัปเดต โปรดดูตามตารางด้านล่างนี้:
| เวอร์ชันของ Kubectl ที่ AWS จำหน่าย | เวอร์ชันที่ได้รับผลกระทบ |
เวอร์ชันแนะนำ |
|---|---|---|
| 1.10.x | 1.10.13 และก่อนหน้า | v1.11.10-eks-2ae91d |
| 1.11.x | 1.11.10 และก่อนหน้า |
v1.11.10-eks-2ae91d |
| 1.12.x | 1.12.9 และก่อนหน้า | v1.12.9-eks-f01a84 |
| 1.13.x | 1.13.7 และก่อนหน้า |
v1.13.7-eks-fa4c70 |
AMI ที่ปรับให้เหมาะสมกับ EKS
AMI ที่ปรับให้เหมาะสมกับ EKS สำหรับ Kubernetes เวอร์ชัน v20190701 จะไม่มี Kubectl อีกต่อไป ลูกค้าที่ใช้งาน v20190701 หรือเวอร์ชันใหม่กว่าจะไม่ได้รับผลกระทบและไม่จำเป็นต้องดำเนินการใดๆ ลูกค้าที่ใช้งาน EKS AMI เวอร์ชันก่อนหน้าควรอัปเดตให้เป็น EKS AMI เวอร์ชันล่าสุด
CVE-2019-11246 ได้รับการแก้ไขใน AWS-2019-006