社区编辑申请
注册/登录
Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面前! 译文
安全 漏洞 云安全
影响所有版本的Kubernetes的两个高危漏洞可能让未经授权的攻击者可以触发拒绝服务(DoS)状态,Kubernetes这个开源系统用于处理容器化的应用程序。

【51CTO.com快译】影响所有版本的Kubernetes的两个高危漏洞可能让未经授权的攻击者可以触发拒绝服务(DoS)状态,Kubernetes这个开源系统用于处理容器化的应用程序。

Kubernetes的开发团队已经发布了修补版本,以堵住这些新发现的安全漏洞,并阻止潜在攻击者钻漏洞的空子。

Kubernetes最初由谷歌使用Go开发而成,旨在帮助使主机集群上的容器化工作负载和服务的部署、扩展和管理实现自动化。

它通过将应用程序容器组织到pod、节点(物理或虚拟机)和集群来实现这一点,多个节点构成由主系统(master)管理的集群,主系统负责协调与集群有关的任务,比如扩展、调度或更新应用程序。

安全漏洞影响所有Kubernetes版本

Kubernetes产品安全委员会的Micah Hausler在Kubernetes安全问题公告列表上透露:“Go语言的net/http库中发现了一个安全问题,影响了Kubernetes的所有版本和所有组件。”

“这些漏洞可能导致采用HTTP或HTTPS侦听器的任何进程面临DoS,”所有版本的Kubernetes都受到影响。

Netflix在8月13日宣布发现了多个漏洞,这些漏洞使本身支持HTTP/2通信的服务器暴露在DoS攻击面前。

在Netflix与安全公告一同发布的八个CVE中,其中两个还影响Go和旨在服务于HTTP/2流量(包括 /healthz)的所有Kubernetes组件。

标为CVE-2019-9512和CVE-2019-9514的这两个漏洞已被Kubernetes产品安全委员会定为CVSS v3.0基础分7.5;这两个漏洞使“不可信任的客户端可以分配无限量的内存,直到服务器崩溃。”

  • CVE-2019-9512 Ping Flood:攻击者向HTTP/2对等体(peer)发送连续ping,导致对等体建立内部响应队列。这可能消耗过多的CPU、内存或CPU和内存——这取决于该数据的队列多高效,从而可能导致拒绝服务攻击。
  • CVE-2019-9514 Rest Flood:攻击者打开多路数据流,并在每路数据流上发送无效请求,从而从对等体获得RST_STREAM帧数据流。这会消耗过多的内存、CPU或CPU和内存——这取决于对等体如何将RST_STREAM帧列入队列,从而可能导致拒绝服务攻击。

升级Kubernetes集群

如开头所述,Kubernetes已经发布了补丁来堵住漏洞,建议所有管理员尽快升级到补丁版本。

开发团队已发布了使用新版本和修补版Go构建的以下Kubernetes版本,以帮助管理员应对漏洞:

  • Kubernetes v1.15.3 - go1.12.9
  • Kubernetes v1.14.6 - go1.12.9
  • Kubernetes v1.13.10 - go1.11.13

Kubernetes管理员可使用Kubernetes集群管理页面(https://kubernetes.io/docs/tasks/administer-cluster/cluster-management/#upgrading-a-cluster)上适用于所有平台的升级说明来升级集群。

原文标题:Severe Flaws in Kubernetes Expose All Servers to DoS Attacks,作者:Sergiu Gatlan

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

 

责任编辑:赵宁宁 来源: 51CTO
相关推荐

2022-06-15 08:21:49

Linux运维工程师

2022-06-16 17:02:49

微软智能云混合云Azure

2019-10-25 17:18:44

网络安全网络安全技术周刊

2022-06-09 18:04:46

网络攻击网络安全

2022-06-20 13:34:46

漏洞网络攻击

2022-06-09 13:45:18

vivoK8S集群Kubernetes

2022-06-06 14:35:59

KubevirtKubernetes虚拟机

2022-06-03 09:41:03

DockerKubernetes容器

2022-06-16 15:42:16

攻击面管理ASM

2022-06-07 09:59:21

网络安全安全漏洞

2022-05-27 15:06:22

攻击面管理(ASM)网络安全运营

2022-06-15 11:02:40

网络安全运营

2022-06-20 14:57:50

漏洞安全威胁

2022-06-23 12:03:00

网络安全网络安全事故

2022-06-01 09:38:36

KubernetesPod容器

2022-06-09 10:12:01

网络安全人工智能威胁监测

2022-05-23 07:48:10

zabbix监控CentOS7

2022-06-24 11:34:38

云计算应用安全

2022-06-23 09:49:16

火绒安全英特尔

2022-05-26 11:06:33

加密勒索软件网络攻击

同话题下的热门内容

六个优秀漏洞管理工具以及它们如何帮助确定威胁的优先级首席信息安全官仍然会犯的漏洞管理错误

编辑推荐

Log4j史诗级漏洞,从原理到实战,只用3个实例就搞明白!漏洞情报 | Spring RCE 0day高危漏洞预警Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面前!Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响二维码新漏洞出现,遇到此类二维码小心中招
我收藏的内容
点赞
收藏

51CTO技术栈公众号