上次更新時間:2019 年 8 月 15 日上午 9:00 PDT
CVE 識別碼:CVE-2019-11249
AWS 注意到一個安全問題 (CVE-2019-11249),解決了 CVE-2019-1002101 和 CVE-2019-11246 的不完整修復程序。如同前述 CVE,問題出於 Kubernetes kubectl 工具,此問題可能允許惡意容器在使用者工作站上替換或建立檔案。
若使用者要執行包含惡意版本 tar 指令的不受信任容器,並執行 kubectl cp 操作,則解壓縮 tar 檔案的 kubectl 二進位檔案可能會在使用者工作站上覆寫或建立檔案。
AWS 客戶應避免使用不受信任的容器。若客戶使用不受信任的容器,並使用 kubectl 工具管理其 Kubernetes 叢集,則應避免使用受影響的版本執行 kubectl cp 指令,並應更新至最新的 kubectl 版本。
更新 Kubectl
Amazon Elastic Kubernetes Service (EKS) 目前已發佈 kubectl,客戶可從 EKS 服務 S3 儲存貯體下載。您可在 EKS 使用者指南中找到下載和安裝說明。客戶可執行 "kubectl version --client" 指令找出正在使用的版本。
如需有關受影響的 kubectl 版本以及我們建議更新的建議版本清單,請參閱下表:
| AWS 發佈的 kubectl 版本 | 受影響的版本 |
建議版本 |
|---|---|---|
| 1.10.x | 1.10.13 和較早版本 | v1.11.10-eks-2ae91d |
| 1.11.x | 1.11.10 和較早版本 |
v1.11.10-eks-2ae91d |
| 1.12.x | 1.12.9 和較早版本 | v1.12.9-eks-f01a84 |
| 1.13.x | 1.13.7 和較早版本 |
v1.13.7-eks-fa4c70 |
EKS 最佳化 AMI
版本 v20190701 中適用於 Kubernetes 的 EKS 最佳化 AMI 不再包含 kubectl。執行 v20190701 或更新版本的客戶不會受到影響,因此無需採取任何措施。執行較早版本的 EKS AMI 的客戶則應更新至最新的 EKS AMI。
CVE-2019-11246 已於 AWS-2019-006 中解決。