Cập nhật lần cuối: 15/8/2019 9:00 SA PDT
Mã định danh CVE: CVE-2019-11249
AWS đã biết về sự cố bảo mật (CVE-2019-11249), sự cố này giải quyết các bản sửa lỗi chưa hoàn chỉnh trên CVE-2019-1002101 và CVE-2019-11246. Tương tự các CVE đã đề cập ở trên, sự cố trong công cụ kubectl của Kubernetes có thể cho phép một bộ chứa độc hại thay thế hoặc tạo tệp trên máy trạm của người dùng.
Nếu người dùng chạy một bộ chứa không tin cậy có chứa phiên bản độc hại của lệnh tar và thực hiện thao tác cp kubectl, nhị phân kubectl giải nén tệp tar có thể ghi đè hoặc tạo tệp trên máy trạm của người dùng.
Khách hàng của AWS nên hạn chế sử dụng các bộ chứa không tin cậy. Nếu khách hàng sử dụng bộ chứa không tin cậy và sử dụng công cụ kubectl để quản lý cụm Kubernetes thì khách hàng không nên chạy lệnh cp kubectl bằng các phiên bản bị ảnh hưởng và nên cập nhật lên phiên bản kubectl mới nhất.
Cập nhật Kubectl
Amazon Elastic Kubernetes Service (EKS) hiện đang cung cấp kubectl cho khách hàng tải xuống từ bộ chứa S3 của dịch vụ EKS. Bạn có thể tìm thấy hướng dẫn tải xuống và cài đặt trong Hướng dẫn người dùng EKS. Khách hàng có thể chạy lệnh "kubectl version --client" để xem phiên bản mình đang sử dụng.
Để biết danh sách các phiên bản kubectl bị ảnh hưởng và các phiên bản mà chúng tôi khuyến nghị cập nhật, vui lòng tham khảo bảng dưới đây:
| Phiên bản kubectl do AWS cung cấp | Phiên bản bị ảnh hưởng |
Phiên bản khuyến nghị |
|---|---|---|
| 1.10.x | 1.10.13 trở về trước | v1.11.10-eks-2ae91d |
| 1.11.x | 1.11.10 trở về trước |
v1.11.10-eks-2ae91d |
| 1.12.x | 1.12.9 trở về trước | v1.12.9-eks-f01a84 |
| 1.13.x | 1.13.7 trở về trước |
v1.13.7-eks-fa4c70 |
AMI được tối ưu hóa cho EKS
Phiên bản v20190701 của AMI được tối ưu hóa cho EKS trên Kubernetes không còn chứa kubectl. Khách hàng đang chạy phiên bản v20190701 trở lên sẽ không bị ảnh hưởng và không cần thực hiện hành động nào khác. Khách hàng đang chạy phiên bản cũ hơn của AMI EKS nên cập nhật lên AMI EKS mới nhất.
CVE-2019-11246 đã được giải quyết trong AWS-2019-006.