文档首页 > > 用户指南> 产品公告> 漏洞修复公告> 修复Kubernetes HTTP/2漏洞公告

修复Kubernetes HTTP/2漏洞公告

分享
更新时间: 2020/01/22 GMT+08:00

Kubernetes社区近期公布了CVE-2019-9512与CVE-2019-9514安全漏洞,CCE已发布最新kubernetes 1.13.10版本对漏洞进行修复,对于已经创建的kubernetes 1.13版本,9月底将提供补丁进行修复。针对低于kubernetes 1.13集群版本后续将提供升级能力。

漏洞详情

近期Kubernetes社区发布了与Go相关的安全漏洞CVE-2019-9512和CVE-2019-9514。具体的安全问题出现在Go语言的net/http库中,它会影响Kubernetes的所有版本和所有组件。这些漏洞可能导致所有处理HTTP或HTTPS Listener的进程受到DoS攻击。

由于此问题影响范围很广,Go官方及时针对此问题发布了Go 1.12.9和Go 1.11.13版本。

Kubernetes也在v1.13.10 - go1.11.13版本中完成了Go版本的更新。

表1 漏洞信息

漏洞类型

CVE-ID

拒绝服务攻击

CVE-2019-9512

资源管理错误

CVE-2019-9514

影响范围

默认集群在VPC和安全组内保护下不受影响。

如果用户通过互联网访问方式开放集群API,集群控制面可能会受影响。

解决方案

  • CCE已发布最新kubernetes 1.13.10版本对漏洞进行修复。
  • 对于已经创建的kubernetes 1.13版本,9月底将提供补丁进行修复。
  • 针对低于kubernetes 1.13集群版本后续将提供升级能力。

附:为何影响?

这些攻击大多在HTTP/2传输层进行。如下图所示,该层位于TLS传输之上,但在请求概念之下。事实上,许多攻击都涉及0或1个请求。

从早期的超文本传输协议开始,中间件服务就以请求为导向:日志以请求为分割(而不是连接);速率限制发生在请求级别;并且流量控制也由请求触发。

相比之下,没有多少工具可以根据客户端在HTTP/2连接层的行为来执行记录、速率限制和修正。因此,中间件服务可能会发现更难发现和阻止恶意的HTTP/2连接,并且可能需要添加额外的工具来处理这些情况。

这些攻击媒介允许远程攻击者消耗过多的系统资源。有些攻击足够高效,单个终端系统可能会对多台服务器造成严重破坏(服务器停机/核心进程崩溃/卡死)。其他攻击效率较低的情况则产生了一些更棘手的问题,他们只会使服务器的运行变得缓慢,可能会是间歇性的,这样的攻击会更难以检测和阻止。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区