上次更新时间2019年8月15日上午9:00(太平洋夏令时)CVE标识符CVE-2019-11249AWS已经意识到一个安全问题(CVE-2019- 上次更新时间2019 年 8 月 15 日上午 9:00(太平洋夏令时) CVE 标识符CVE-2019-11249 AWS 已
上次更新时间2019 年 8 月 15 日上午 9:00(太平洋夏令时)
CVE 标识符CVE-2019-11249
AWS 已经意识到一个安全问题 (CVE-2019-11249)该问题会解析 CVE-2019-1002101 和 CVE-2019-11246 不完全修复。与前面提到的 CVE 一样该问题的根源在于 Kubernetes kubectl 工具该问题可能会允许恶意容器更换用户工作站上的文件或者在上面创建文件。
如果用户运行包含恶意版 tar 命令的不受信任容器并执行 kubectl cp 操作则用于解压 tar 文件的 kubectl 二进制文件可能会覆盖用户工作站上的文件或者在上面创建文件。
AWS 客户应避免使用不受信任的容器。如果客户使用不受信任容器并使用 kubectl 工具来管理他们的 Kubernetes 集群则应该避免使用受影响的 kubectl 版本运行 kubectl cp 命令并更新到 kubectl 的最新版本。
更新 Kubectl
Amazon Elastic Kubernetes Service (EKS) 目前提供 kubectl客户可以从 EKS 服务 S3 存储桶中下载。关于下载和安装说明请访问 EKS 用户指南。客户可以运行命令“kubectl version --client”了解他们使用的是哪个版本。
关于受影响的 kubectl 版本的列表以及我们建议更新到的推荐版本请参考下表