Kubernetes Güvenlik Sorunu (CVE-2019-11249)

Son Güncelleme: 15 Ağustos 2019 9:00 PDT

CVE Tanımlayıcısı: CVE-2019-11249

AWS, CVE-2019-1002101 ve CVE-2019-11246 için tamamlanmamış düzeltmeleri gideren bir güvenlik sorununun (CVE-2019-11249) farkındadır. Yukarıda bahsedilen CVE'lerde olduğu gibi sorun, kötü amaçlı container'ın, bir kullanıcının iş istasyonunda dosya değiştirmesine veya oluşturmasına izin verebilecek Kubernetes kubectl aracındadır.

Bir kullanıcının, tar komutunun kötü amaçlı bir sürümünü içeren, güvenilir olmayan bir container'ı çalıştırması ve kubectl cp işlemini gerçekleştirmesi durumunda, tar dosyasını dışarı çıkaran kubectl ikilisi, kullanıcının iş istasyonunda dosyaların üzerine yazabilir veya dosya oluşturabilir.

AWS müşterileri, güvenilir olmayan container'lar kullanmaktan kaçınmalıdır. Müşteriler, güvenilir olmayan bir container'ı ve kendi Kubernetes kümelerini yönetmek için kubectl aracını kullanırsa, etkilenen sürümlerle kubectl cp komutunu çalıştırmaktan kaçınmalıdır ve en son kubectl sürümüne güncellemelidir.

Kubectl'i Güncelleme

Amazon Elastic Kubernetes Service (EKS) şu anda müşterilerin EKS hizmeti S3 klasöründen indirmesi için kubectl sunmaktadır. İndirme ve yükleme talimatlarına EKS Kullanıcı Kılavuzu'ndan ulaşılabilir. Müşteriler hangi sürümü kullandıklarını öğrenmek için "kubectl version --client" komutunu çalıştırabilir.

Etkilenen kubectl sürümlerinin ve güncelleme yapmanızı önerdiğimiz sürümlerin listesi için lütfen aşağıdaki tabloya bakın:

EKS İçin Optimize Edilen AMI'ler

Kubernetes v20190701 sürümünde EKS için optimize edilen AMI'ler artık kubectl içermemektedir. v20190701 veya daha yeni sürümleri çalıştıran müşteriler etkilenmemektedir ve herhangi bir işlem yapmalarına gerek yoktur. EKS AMI'nin daha önceki bir sürümünü çalıştıran müşteriler en son EKS AMI sürümüne güncellemelidir.

CVE-2019-11246, AWS-2019-006'da ele alınmıştır.