2/7/2019 2:00 CH PDT
Mã định danh CVE: CVE-2019-11246
AWS đã biết về sự cố bảo mật (CVE-2019-11246) trong công cụ kubectl của Kubernetes có khả năng cho phép một bộ chứa độc hại thay thế hoặc tạo tệp trên máy trạm của người dùng.
Nếu người dùng chạy một bộ chứa không tin cậy có chứa phiên bản độc hại của lệnh tar và thực hiện thao tác cp kubectl, nhị phân kubectl giải nén tệp tar có thể ghi đè hoặc tạo tệp trên máy trạm của người dùng.
Khách hàng của AWS nên hạn chế sử dụng các bộ chứa không tin cậy. Nếu khách hàng sử dụng bộ chứa không tin cậy và sử dụng công cụ kubectl để quản lý cụm Kubernetes thì khách hàng không nên chạy lệnh kubectl cp bằng các phiên bản bị ảnh hưởng và nên cập nhật lên phiên bản kubectl mới nhất.
Cập nhật Kubectl
AWS hiện đang cung cấp kubectl cho khách hàng tải xuống tại bộ chứa S3 của dịch vụ EKS, đồng thời cung cấp vận chuyển nhị phân trong AMI được quản lý của chúng tôi.
1.10.x: Phiên bản kubectl từ 1.10.13 trở về trước do AWS cung cấp sẽ bị ảnh hưởng. Chúng tôi khuyến nghị bạn cập nhật kubectl lên phiên bản 1.11.10.
1.11.x: Phiên bản kubectl từ 1.11.9 trở về trước do AWS cung cấp sẽ bị ảnh hưởng. Chúng tôi khuyến nghị bạn cập nhật kubectl lên phiên bản 1.11.10.
1.12.x: Phiên bản kubectl từ 1.12.7 trở về trước do AWS cung cấp sẽ bị ảnh hưởng. Chúng tôi khuyến nghị bạn cập nhật kubectl lên phiên bản 1.12.9.
1.13.x: Phiên bản kubectl 1.13.7 do AWS cung cấp sẽ không bị ảnh hưởng.
AMI được tối ưu hóa cho EKS
Các phiên bản 1.10.13, 1.11.9 và 1.12.7 của AMI được tối ưu hóa cho EKS trên Kubernetes hiện chứa các phiên bản kubectl bị ảnh hưởng.
Các phiên bản mới của AMI được tối ưu hóa cho EKS sẽ được phát hành hôm nay và sẽ không còn bao gồm nhị phân kubectl. AMI EKS không phụ thuộc vào nhị phân kubectl và trước đây được cung cấp thêm phần tiện lợi. Khách hàng sử dụng kubectl trong AMI sẽ phải tự cài đặt kubectl khi nâng cấp lên AMI mới. Trong khi chờ đợi, người dùng nên cập nhật phiên bản kubectl bằng cách thủ công trên mọi bản cài đặt AMI đang chạy trước khi sử dụng.