Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面

小提示：您能找到这篇{Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

影响所有版本的Kubernetes的两个高危漏洞可能让未经授权的攻击者可以触发拒绝服务(DoS)状态，Kubernetes这个开源系统用于处理容器化的应用程序。

Kubernetes的开发团队已经发布了修补版本，以堵住这些新发现的安全漏洞，并阻止潜在攻击者钻漏洞的空子。

Kubernetes最外国疫情国际公关危机初由谷歌使用Go开发而成，旨在帮助使主机集群上的容器化工作负载和服务的部署、扩展和管理实现自动化。

它通过将应用程序容器组织到pod、节点(物理或虚拟机)和集群来实现这一点，多个节点构成由主系统(mast携程泄露门危机公关er)管理的集群，主系统负责协调与集群有关的任务，比如扩展、调度或更新应用程序。

安全漏洞影响所有Kubernetes版本

Kubernetes产品安全委员会的Micah Hausler在Kubernetes安全问题公告列表上透露：“Go语言的net/http库中发现了一个安全问题，影响了Kubernetes的所有版本和所有组件。”

Netflix在8月13日宣布发现了多个漏洞，这些漏洞使本身支持HTTP/2通信的服务器暴露在DoS攻击面前。

在Netflix与安全公告一同发布的八个CVE中，其中两个还影响Go和旨在服务于HTTP/2流量(包括 /healthz)的所有Kubernetes组件。

标为CVE-2019-9512和CVE-2019-9514的这两个漏洞已被Kubernetes产品安全委员会定为CVSS v3.0基础分7.5;这两个漏洞使“不可信任的客户端可以分配无限量的内存，直到服务器崩溃。”

• CVE-2019-9512 Ping Flood：攻击者向HTTP/2对等体(peer)发送连续ping，导致对等体建立内部响应队列。这可能消耗过多的CPU、内存或CPU和内存——这取决于该数据的队列多高效，从而可能导致拒绝服务攻击。
• CVE-2019-9514 Rest Flood：攻击者打开多路数据流，并在每路数据流上发送无效请求，从而从对等体获得RST_STREAM帧数据流。这会消耗过多的内存、CPU或CPU和内存——这取决于对等体如何将RST_STREAM帧列入队列，从而可能导致拒绝服务攻击。
信息流

升级Kubernetes集群

如开头所述，Kubernetes已经发布了补丁来堵住漏洞，建议所有管理员尽快升级到补丁版本。

开发团队已发布了使用新版本和修补版Go构建的以下Kubernetes版本，以帮助管理员应对漏洞：

• Kubernetes v1.15.3 – go1.12.9
• Kubernetes v1.14.6 – go1.12.9
• Kubernetes v1.13.10 – go1.11.13

Kubernetes管理员可使用Kubernetes集群管理页面(https://kubernetes.io/docs/tasks/administer-cluster/cluster-management/#upgrading-a-cluster)上适用于所有平台的升级说明来升级集群。

原文标题：Severe Flaws in Kubernetes Expose All Servers to DoS Attacks，作者：Sergiu Gatlan

作者：布加迪编译来源：51CTO