2 Temmuz 2019 14:00 PDT
CVE Tanımlayıcısı: CVE-2019-11246
AWS, kötü amaçlı container'ın, bir kullanıcının iş istasyonunda dosya değiştirmesine veya dosya oluşturmasına izin verebilecek Kubernetes kubectl aracındaki bir güvenlik sorununun (CVE-2019-11246) farkındadır.
Bir kullanıcının, tar komutunun kötü amaçlı bir sürümünü içeren, güvenilir olmayan bir container'ı çalıştırması ve kubectl cp işlemini gerçekleştirmesi durumunda, tar dosyasını dışarı çıkaran kubectl ikilisi, kullanıcının iş istasyonunda dosyaların üzerine yazabilir veya dosya oluşturabilir.
AWS müşterileri, güvenilir olmayan container'lar kullanmaktan kaçınmalıdır. Müşteriler, güvenilir olmayan bir container'ı ve kendi Kubernetes kümelerini yönetmek için kubectl aracını kullanırsa, etkilenen sürümlerle kubectl cp komutunu çalıştırmaktan kaçınmalıdır ve en son kubectl sürümüne güncellemelidir.
Kubectl'i Güncelleme
AWS şu anda ikili dosyayı yönetilen AMI'mizde iletmenin yanı sıra müşterilerin EKS hizmeti S3 klasöründe indirebilmesi için kubectl sunmaktadır.
1.10.x: AWS tarafından sunulan 1.10.13 veya önceki kubectl sürümleri etkilenmektedir. Kubectl sürüm 1.11.10'a güncellemenizi öneririz.
1.11.x: AWS tarafından sunulan 1.11.9 veya önceki kubectl sürümleri etkilenmektedir. Kubectl sürüm 1.11.10'a güncellemenizi öneririz.
1.12.x: AWS tarafından sunulan 1.12.7 veya önceki kubectl sürümleri etkilenmektedir. Kubectl sürüm 1.12.9'a güncellemenizi öneririz.
1.13.x: AWS tarafından sunulan kubectl 1.13.7 etkilenmez.
EKS İçin Optimize Edilen AMI'ler
Kubernetes 1.10.13, 1.11.9 ve 1.12.7 sürümlerinde EKS için optimize edilen AMI'ler şu anda etkilenen kubectl sürümlerini içermektedir.
EKS için optimize edilen AMI'lerin yeni sürümleri bugün kullanıma sunulacaktır ve artık kubectl ikilisini içermeyecektir. EKS AMI, kubectl ikilisinden yararlanmamaktadır ve daha önce kolaylık sağlaması için sunulmuştur. Kubectl'in AMI'de bulunmasından yararlanan müşterilerin, yeni AMI'ye güncellerken bunu kendilerinin yüklemesi gerekmektedir. Bu süre içinde kullanıcılar, kullanmadan önce kubectl sürümünü AMI'nin çalışan tüm örneklerinde güncellemelidir.