“AI 技术+人才”如何成为企业增长新引擎?戳此了解>>> 了解详情
写点什么

Kubernetes 爆发严重漏洞:可能影响所有开源版本

  • 2019-08-23
  • 本文字数:765 字

    阅读完需:约 3 分钟

Kubernetes爆发严重漏洞:可能影响所有开源版本

根据报道,Kubernetes 爆发严重漏洞,可能会影响所有开源版本。这两个漏洞是处理容器化应用程序的高严重性漏洞,可能允许未经授权的攻击者触发拒绝服务(DoS)状态。在发现漏洞后,Kubernetes 开发团队已经发布了修补版本,以解决这些新发现的安全漏洞并阻止潜在的攻击者。



Kubernetes 产品安全委员会的 Micah Hausler 在 Kubernetes 安全问题公告列表上透露:“Go 语言的 net/http 库中发现了一个安全问题,将会影响所有 Kubernetes 版本和组件。这些漏洞可能导致采用 HTTP 或 HTTPS 侦听器的任何进程面临 DoS。”


Netflix 在 8 月 13 日宣布发现了多个漏洞,这些漏洞使本身支持 HTTP/2 通信的服务器暴露在 DoS 攻击面前。在与安全公告一同发布的八个 CVE 中,其中两个还影响 Go 和旨在服务于 HTTP/2 流量(包括 /healthz)的所有 Kubernetes 组件。


标为 CVE-2019-9512 和 CVE-2019-9514 的两个漏洞已被 Kubernetes 产品安全委员会定为 CVSS v3.0 基础分 7.5,这两个漏洞使“不受信任的客户端可以分配无限量的内存,直到服务器崩溃。”


  • CVE-2019-9512 Ping Flood:攻击者向 HTTP/2 对等体(peer)发送连续 ping,导致对等体建立内部响应队列。这可能消耗过多 CPU 和内存——这取决于该数据的队列多高效,从而可能导致拒绝服务攻击。

  • CVE-2019-9514 Rest Flood:攻击者打开多路数据流,并在每路数据流上发送无效请求,从而从对等体获得 RST_STREAM 帧数据流。这会消耗过多的内存、CPU 或 CPU 和内存——这取决于对等体如何将 RST_STREAM 帧列入队列,从而可能导致拒绝服务攻击。


Kubernetes 已经发布补丁以修复漏洞,建议所有管理员尽快升级到补丁版本,以帮助管理员应对漏洞:


  • Kubernetes v1.15.3 - go1.12.9

  • Kubernetes v1.14.6 - go1.12.9

  • Kubernetes v1.13.10 - go1.11.13


最后,Kubernetes 管理员可根据Kubernetes集群管理页面上的说明来升级集群。


2019-08-23 15:5317708
用户头像
赵钰莹 InfoQ 主编

发布了 870 篇内容, 共 598.3 次阅读, 收获喜欢 2669 次。

关注

评论

发布
暂无评论
发现更多内容

1个Java程序员需要具备什么样的素质和能力才可以称得上高级工程师?

Java永远的神

程序员 后端 架构师 java面试 Java性能优化

牛客网最新开源!共1600+页 ,堪称Java面试八股文的天花板

采菊东篱下

程序员 java面试

公网对讲SDK——对讲应用场景

anyRTC开发者

音视频 视频会议 指挥调度 快对讲 公网对讲

深度学习进阶篇-预训练模型[2]:Transformer-XL、Longformer、GPT原理、模型结构、应用场景、改进技巧等详细讲解

汀丶人工智能

人工智能 深度学习 nlp 预训练模型 Transformer

选择小程序第三方开发框架,你需要知道这些

没有用户名丶

前端微服务无界实践 | 京东云技术团队

京东科技开发者

微服务 前端 企业号 5 月 PK 榜 无界

Gamefi很有潜力?分析链游gamefi系统开发源码!

Congge420

如何编写一个健壮的 npm 包 | 京东云技术团队

京东科技开发者

npm npm chalk-next 企业号 5 月 PK 榜

浅析 Redis 中 String 数据类型及其底层编码

做梦都在改BUG

redis 数据结构 string

首个机器学习实时特征平台测试基准论文被 VLDB 2023 录取

第四范式开发者社区

人工智能 机器学习 数据库 开源 特征

Github标星67.9k的微服务架构以及架构设计模式笔记我粉了

做梦都在改BUG

Java 架构 微服务 设计模式

什么是数字藏品|数字藏品系统开发源码?

Congge420

羊了个羊游戏|链游dapp系统开发方案

Congge420

字节Java全能手册火了!多线程/网络/性能调优/框架啥都有

做梦都在改BUG

Java 微服务 Spring Cloud socket

PAI-Diffusion中文模型全面升级,海量高清艺术大图一键生成

阿里云大数据AI技术

人工智能 模型 Stable Diffusion 企业号 5 月 PK 榜

Elasticsearch之join关联查询及使用场景 | 京东云技术团队

京东科技开发者

数据库 elasticsearch sql join 企业号 5 月 PK 榜

TDengine 成功“晋级” Percona Live 2023 银牌赞助商,开发者驻足关注

爱倒腾的程序员

Spring Validated 校验框架,让你的项目更简洁,提升开发效率

做梦都在改BUG

Java spring Validated

Nautilus Chain开启全球行,普及Layer3概念加速其采用

鳄鱼视界

开源堡垒机和免费商业堡垒机哪个用的更香?

行云管家

开源 网络安全 免费堡垒机

CFS第十二届财经峰会7月举行, 候选品牌:行云管家

行云管家

云计算 商业 财经峰会

文档关键信息提取形成知识图谱:基于NLP算法提取文本内容的关键信息生成信息图谱教程及码源(含pyltp安装使用教程)

汀丶人工智能

nlp 知识图谱 信息抽取 命名实体识别 pyltp

如何做好需求管理?华为云需求管理利器CodeArts Req解读

华为云PaaS服务小智

云计算 产品经理 需求管理 华为云

万字长文详述ClickHouse在京喜达实时数据的探索与实践 | 京东云技术团队

京东科技开发者

数据库 flink Clickhouse 企业号 5 月 PK 榜

CMake常用命令大全:提高项目构建效率

小万哥

程序员 面试 后端 C/C++ cmake

顺丰科技携手飞桨自研“智能外呼机器人”,为客户打造优质服务体验

飞桨PaddlePaddle

nlp 语音识别 百度飞桨

首站中科院!百度商业AI技术创新大赛开启巡回宣讲

百度Geek说

人工智能 百度 企业号 5 月 PK 榜

Iframe在Vue中的状态保持技术 | 京东云技术团队

京东科技开发者

html Vue iframe 跨域 iframe 企业号 5 月 PK 榜

3种分页列表缓存方式,速收藏~~

华为云开发者联盟

开发 华为云 华为云开发者联盟 企业号 5 月 PK 榜

成功加冕!用友大易获评2023最佳招聘管理软件供应商

用友BIP

招聘

火山引擎DataTester:如何使用A/B测试优化全域营销效果

字节跳动数据平台

AB testing实战 ab测试 A/B测试

Kubernetes爆发严重漏洞:可能影响所有开源版本_技术管理_赵钰莹_InfoQ精选文章