Kubernetes 爆发严重漏洞:可能影响所有开源版本

阅读数:16948 2019 年 8 月 23 日 15:53

Kubernetes爆发严重漏洞:可能影响所有开源版本

根据报道,Kubernetes 爆发严重漏洞,可能会影响所有开源版本。这两个漏洞是处理容器化应用程序的高严重性漏洞,可能允许未经授权的攻击者触发拒绝服务(DoS)状态。在发现漏洞后,Kubernetes 开发团队已经发布了修补版本,以解决这些新发现的安全漏洞并阻止潜在的攻击者。

Kubernetes爆发严重漏洞:可能影响所有开源版本

Kubernetes 产品安全委员会的 Micah Hausler 在 Kubernetes 安全问题公告列表上透露:“Go 语言的 net/http 库中发现了一个安全问题,将会影响所有 Kubernetes 版本和组件。这些漏洞可能导致采用 HTTP 或 HTTPS 侦听器的任何进程面临 DoS。”

Netflix 在 8 月 13 日宣布发现了多个漏洞,这些漏洞使本身支持 HTTP/2 通信的服务器暴露在 DoS 攻击面前。在与安全公告一同发布的八个 CVE 中,其中两个还影响 Go 和旨在服务于 HTTP/2 流量 (包括 /healthz) 的所有 Kubernetes 组件。

标为 CVE-2019-9512 和 CVE-2019-9514 的两个漏洞已被 Kubernetes 产品安全委员会定为 CVSS v3.0 基础分 7.5,这两个漏洞使“不受信任的客户端可以分配无限量的内存,直到服务器崩溃。”

  • CVE-2019-9512 Ping Flood:攻击者向 HTTP/2 对等体 (peer) 发送连续 ping,导致对等体建立内部响应队列。这可能消耗过多 CPU 和内存——这取决于该数据的队列多高效,从而可能导致拒绝服务攻击。
  • CVE-2019-9514 Rest Flood:攻击者打开多路数据流,并在每路数据流上发送无效请求,从而从对等体获得 RST_STREAM 帧数据流。这会消耗过多的内存、CPU 或 CPU 和内存——这取决于对等体如何将 RST_STREAM 帧列入队列,从而可能导致拒绝服务攻击。

Kubernetes 已经发布补丁以修复漏洞,建议所有管理员尽快升级到补丁版本,以帮助管理员应对漏洞:

  • Kubernetes v1.15.3 - go1.12.9
  • Kubernetes v1.14.6 - go1.12.9
  • Kubernetes v1.13.10 - go1.11.13

最后,Kubernetes 管理员可根据 Kubernetes 集群管理页面上的说明来升级集群。

评论

发布