2019 年 7 月 2 日下午 2:00 PDT
CVE 識別碼:CVE-2019-11246
AWS 注意到 Kubernetes kubectl 工具中存在一個安全問題 (CVE-2019-11246),此問題可能允許惡意容器在使用者工作站上替換或建立檔案。
若使用者要執行包含惡意版本 tar 指令的不受信任容器,並執行 kubectl cp 操作,則解壓縮 tar 檔案的 kubectl 二進位檔案可能會在使用者工作站上覆寫或建立檔案。
AWS 客戶應避免使用不受信任的容器。若客戶使用不受信任的容器,並使用 kubectl 工具管理其 Kubernetes 叢集,則應避免使用受影響的版本執行 kubectl cp 指令,並應更新至最新的 kubectl 版本。
更新 Kubectl
AWS 目前已發佈 kubectl,客戶可在 EKS 服務 S3 儲存貯體中下載,以及在我們的受管 AMI 中傳送二進位檔案。
1.10.x:AWS 1.10.13 或較早版本發佈的 kubectl 版本會受到影響。我們建議您更新至 kubectl 版本 1.11.10。
1.11.x:AWS 1.11.9 或較早版本發佈的 kubectl 版本會受到影響。我們建議您更新至 kubectl 版本 1.11.10。
1.12.x:AWS 1.12.7 或較早版本發佈的 kubectl 版本會受到影響。 我們建議您更新至 kubectl 版本 1.12.9。
1.13.x:AWS 發佈的 kubectl 1.13.7 不受影響。
EKS 最佳化 AMI
適用於 Kubernetes 版本 1.10.13、1.11.9 和 1.12.7 的 EKS 最佳化 AMI 目前包含受影響的 kubectl 版本。
EKS 最佳化 AMI 的新版本將於今天發佈,並且將不再包含 kubectl 二進制檔案。EKS AMI 不依賴 kubectl 二進制檔案,之前僅為了方便使用而提供。依賴於 AMI 中存在的 kubectl 的客戶將需要在升級至新的 AMI 時自行安裝。同時,使用者應在使用任何 AMI 的執行個體之前手動更新 kubectl 版本。