Kubernetes嚴重漏洞致伺服器DoS攻擊

kubernetes，簡稱K8s，是用8代替8個字元「ubernete」而成的縮寫。是谷歌用Go語言開發的一個開源的，用於管理雲平台中多個主機上的容器化的應用。Kubernetes的目標是讓部署容器化的應用簡單並且高效（powerful）,Kubernetes提供了應用部署、規劃、更新、維護的一種機制。

研究人員發現了2個影響所有Kubernetes開源系統版本的高危漏洞，非授權的攻擊者利用漏洞可以觸發DoS狀態。

Kubernetes團隊已經發布了修復的版本來解決新發現的漏洞，並攔截嘗試利用漏洞的潛在攻擊者。

影響Kubernetes全版本的安全漏洞

研究人員在Go語言的net/http庫中發現了影響所有版本和Kubernetes組件的安全問題。漏洞會導致使用HTTP或HTTPS監聽的所有進程進入DoS狀態。Netflix在8月13日發現了多個將支持HTTP/2通信的伺服器陷入DoS攻擊的漏洞。Netflix發布的8個CVE漏洞中有2個影響Go和所有的Kubernetes組件，分別是CVE-2019-9512和CVE-2019-9514，這兩個漏洞的CVSS v3.0分值為7.5，因為非可靠的客戶端可以分配無限制的內存，直到伺服器奔潰。

·CVE-2019-9512 Ping Flood: 攻擊者不斷發送ping到HTTP/2 對等端，導致對等端產生內部響應隊列。根據數據排隊的效率，會消耗過多的CPU和內存資源，引發DoS攻擊。

·CVE-2019-9514 Reset Flood: 攻擊者開啟大量的流，並在每個流上發送無效的請求，這些流應該從對等端請求RST_STREAM幀的流。根據對等端對RST_STREAM幀排隊的方式，會消耗過多的內存和CPU資源，導致DoS狀態。

升級Kubernetes

Kubernetes已經發布了補丁來應對這些漏洞，研究人員建議所有管理員儘快升級到修復版本，具體包括：

? Kubernetes v1.15.3 - go1.12.9

? Kubernetes v1.14.6 - go1.12.9

? Kubernetes v1.13.10 - go1.11.13

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！