关键的Kubernetes漏洞使所有服务器都面临DoS攻击!该开源系统用于处理容器化应用程序。Kubernetes开发团队已经发布了补丁版本来关闭这些新发现的安全漏洞并阻止潜在的攻击者利用它们。Kubernetes最初是由谷歌使用Go开发的,用于帮助自动化部署、扩展和管理主机集群上的容器化工作负载和服务。它通过将应用程序容器组织成pod、节点(物理机或虚拟机)和集群来实现这一点。多个节点形成一个集群,由一个主系统(master)管理,该系统协调与集群相关的任务,例如缩放、调度或更新应用程序。安全漏洞影响所有Kubernetes版本Kubernetes产品安全委员会的MicahHausler在Kubernetes安全问题公告列表中透露:“在Go语言的net/http库中发现了一个安全问题,影响了Kubernetes的所有版本和所有组件。“这些漏洞可能导致任何使用HTTP或HTTPS侦听器的进程遭到拒绝服务攻击,”所有版本的Kubernetes都受到影响。Netflix于8月13日宣布,它发现了多个漏洞,这些漏洞使本机支持HTTP/2通信的服务器暴露于DoS攻击。在Netflix与安全公告一起发布的八个CVE中,有两个还影响Go和所有旨在为HTTP/2流量提供服务的Kubernetes组件,包括/healthz。这两个漏洞分别标记为CVE-2019-9512和CVE-2019-9514,已经Kubernetes产品安全委员会为CVSSv3.0分配了7.5的基本分数;这两个漏洞允许“不受信任的客户端分配无限量的内存,直到服务器崩溃。”CVE-2019-9512PingFlood:攻击者发送连续ping到HTTP/2对等点,导致对等点建立一个内部响应队列。这可能会消耗过多的CPU、内存,或同时消耗CPU和内存——这取决于数据传输的效率eued,可能导致拒绝服务攻击。CVE-2019-9514RestFlood:攻击者打开多个数据流并在每个数据流上发送无效请求以从对等方获取RST_STREAM帧流。这会消耗过多的内存、CPU或同时消耗CPU和内存——具体取决于对等方如何对RST_STREAM帧进行排队,从而可能导致拒绝服务攻击。升级Kubernetes集群正如开头提到的,Kubernetes已经发布了补丁来堵塞漏洞。建议所有管理员尽快升级到补丁版本。开发团队发布了以下使用Go的新版本和补丁版本构建的Kubernetes版本,以帮助管理员处理该漏洞:Kubernetesv1.15.3-go1.12.9Kubernetesv1.14.6-go1.12.9Kubernetesv1.13.10-go1.11.13Kubernetes管理员可以使用Kubernetes集群管理页面(https://kubernetes.io/docs/tasks/administer-cluster/cluster-management/#upgrading-a-cluster)上的所有平台的升级说明来升级集群。原标题:Kubernetes中的严重缺陷导致所有服务器遭受DoS攻击,作者:SergiuGatlan
