Kubernetes社区你好,
在kube-apiserver中发现了拒绝服务漏洞,其中具有API写入权限的授权用户可以在处理写入请求时导致API服务器消耗过多的资源。问题是中等严重性,可以通过将kube-apiserver升级到v1.11.8、v1.12.6或v1.13.4来解决。
我使用的版本是脆弱吗?
以下版本的kube-apiserver易受攻击:
- v1.0.0-1.10.x
- v1.11.0-1.11.7
- v1.12.0-1.12.5
- v1.13.0-1.13.3
如何在升级之前缓解漏洞?
对不受信任的用户删除“patch”权限。
漏洞详细信息
有权向Kubernetes API服务器发出补丁(patch)请求的用户可以发送特制的“json-patch”补丁(例如kubectl patch --type json或“Content-Type: application/json-patch+json”)处理时消耗过多资源,导致API服务器上的拒绝服务。没有与此漏洞相关的信息泄露或权限升级。
这漏洞提交为CVE-2019-1002100。我们将其评为CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H(6.5,中等)。请参阅GitHub问题#74534了解更多详情。
谢谢
感谢Carl Henrik Lunde报告此问题。请注意,如果您在Kubernetes中发现安全漏洞,请按照安全公开流程进行报告。
感谢Chao Xu和Jordan Liggitt开发修复程序,感谢修补程序发布经理Aleksandra Malinowska、Timothy Pepper、Pengfei Ni和Anirudh Ramanathan协调发布。
-CJ Cullen代表Kubernetes产品安全团队
KubeCon + CloudNativeCon和Open Source Summit大会日期:
- 会议日程通告日期:2019 年 4 月 10 日
- 会议活动举办日期:2019 年 6 月 24 至 26 日
KubeCon + CloudNativeCon和Open Source Summit赞助方案
KubeCon + CloudNativeCon和Open Source Summit多元化奖学金现正接受申请
KubeCon + CloudNativeCon和Open Source Summit即将首次合体落地中国
KubeCon + CloudNativeCon和Open Source Summit购票窗口,立即购票!
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。