Kubernetes严重漏洞致服务器DoS攻击
2019-08-24 10:20:49 Author: www.4hou.com(查看原文) 阅读量:140 收藏

ang010ela 漏洞 2019年8月24日发布

Favorite收藏

Kubernetes3.jpg

kubernetes,简称K8s,是用8代替8个字符“ubernete”而成的缩写。是谷歌用Go语言开发的一个开源的,用于管理云平台中多个主机上的容器化的应用。Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署、规划、更新、维护的一种机制。

研究人员发现了2个影响所有Kubernetes开源系统版本的高危漏洞,非授权的攻击者利用漏洞可以触发DoS状态。

Kubernetes团队已经发布了修复的版本来解决新发现的漏洞,并拦截尝试利用漏洞的潜在攻击者。

影响Kubernetes全版本的安全漏洞

研究人员在Go语言的net/http库中发现了影响所有版本和Kubernetes组件的安全问题。漏洞会导致使用HTTP或HTTPS监听的所有进程进入DoS状态。Netflix在8月13日发现了多个将支持HTTP/2通信的服务器陷入DoS攻击的漏洞。Netflix发布的8个CVE漏洞中有2个影响Go和所有的Kubernetes组件,分别是CVE-2019-9512和CVE-2019-9514,这两个漏洞的CVSS v3.0分值为7.5,因为非可靠的客户端可以分配无限制的内存,直到服务器奔溃。

· CVE-2019-9512 Ping Flood: 攻击者不断发送ping到HTTP/2 对等端,导致对等端产生内部响应队列。根据数据排队的效率,会消耗过多的CPU和内存资源,引发DoS攻击。

· CVE-2019-9514 Reset Flood: 攻击者开启大量的流,并在每个流上发送无效的请求,这些流应该从对等端请求RST_STREAM帧的流。根据对等端对RST_STREAM帧排队的方式,会消耗过多的内存和CPU资源,导致DoS状态。

升级Kubernetes

Kubernetes已经发布了补丁来应对这些漏洞,研究人员建议所有管理员尽快升级到修复版本,具体包括:

• Kubernetes v1.15.3 – go1.12.9
• Kubernetes v1.14.6 – go1.12.9
• Kubernetes v1.13.10 – go1.11.13

本文翻译自:https://www.bleepingcomputer.com/news/security/severe-flaws-in-kubernetes-expose-all-servers-to-dos-attacks/如若转载,请注明原文地址: https://www.4hou.com/vulnerable/19863.html


文章来源: https://www.4hou.com/vulnerable/19863.html
如有侵权请联系:admin#unsafe.sh