【51CTO.com快譯】影響所有版本的Kubernetes的兩個高危漏洞可能讓未經授權的攻擊者可以觸發(fā)拒絕服務(DoS)狀態(tài)，Kubernetes這個開源系統用于處理容器化的應用程序。

Kubernetes的開發(fā)團隊已經發(fā)布了修補版本，以堵住這些新發(fā)現的安全漏洞，并阻止?jié)撛诠粽咩@漏洞的空子。

Kubernetes最初由谷歌使用Go開發(fā)而成，旨在幫助使主機集群上的容器化工作負載和服務的部署、擴展和管理實現自動化。

它通過將應用程序容器組織到pod、節(jié)點(物理或虛擬機)和集群來實現這一點，多個節(jié)點構成由主系統(master)管理的集群，主系統負責協調與集群有關的任務，比如擴展、調度或更新應用程序。

[[274449]]

安全漏洞影響所有Kubernetes版本

Kubernetes產品安全委員會的Micah Hausler在Kubernetes安全問題公告列表上透露：“Go語言的net/http庫中發(fā)現了一個安全問題，影響了Kubernetes的所有版本和所有組件。”

“這些漏洞可能導致采用HTTP或HTTPS偵聽器的任何進程面臨DoS，”所有版本的Kubernetes都受到影響。

Netflix在8月13日宣布發(fā)現了多個漏洞，這些漏洞使本身支持HTTP/2通信的服務器暴露在DoS攻擊面前。

在Netflix與安全公告一同發(fā)布的八個CVE中，其中兩個還影響Go和旨在服務于HTTP/2流量(包括 /healthz)的所有Kubernetes組件。

標為CVE-2019-9512和CVE-2019-9514的這兩個漏洞已被Kubernetes產品安全委員會定為CVSS v3.0基礎分7.5;這兩個漏洞使“不可信任的客戶端可以分配無限量的內存，直到服務器崩潰。”

• CVE-2019-9512 Ping Flood：攻擊者向HTTP/2對等體(peer)發(fā)送連續(xù)ping，導致對等體建立內部響應隊列。這可能消耗過多的CPU、內存或CPU和內存——這取決于該數據的隊列多高效，從而可能導致拒絕服務攻擊。
• CVE-2019-9514 Rest Flood：攻擊者打開多路數據流，并在每路數據流上發(fā)送無效請求，從而從對等體獲得RST_STREAM幀數據流。這會消耗過多的內存、CPU或CPU和內存——這取決于對等體如何將RST_STREAM幀列入隊列，從而可能導致拒絕服務攻擊。

升級Kubernetes集群

如開頭所述，Kubernetes已經發(fā)布了補丁來堵住漏洞，建議所有管理員盡快升級到補丁版本。

開發(fā)團隊已發(fā)布了使用新版本和修補版Go構建的以下Kubernetes版本，以幫助管理員應對漏洞：

• Kubernetes v1.15.3 - go1.12.9
• Kubernetes v1.14.6 - go1.12.9
• Kubernetes v1.13.10 - go1.11.13

Kubernetes管理員可使用Kubernetes集群管理頁面(https://kubernetes.io/docs/tasks/administer-cluster/cluster-management/#upgrading-a-cluster)上適用于所有平臺的升級說明來升級集群。

原文標題：Severe Flaws in Kubernetes Expose All Servers to DoS Attacks，作者：Sergiu Gatlan

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】