Две уязвимость, обнаруженные ранее в этом месяце, влияют на все версии Kubernetes и могут позволить неавторизованному злоумышленнику вызвать состояние отказа в обслуживании (DoS). Дело в том, что изначально Kubernetes был создан компанией Google для внутренних нужд, с использованием Go, и лишь позже был передан управление Cloud Native Computing Foundation.

Специалисты Kubernetes Product Security Committee объясняют, что корень проблемы лежит в использовании net/http библиотеки языка Go, и в итоге баг затрагивает все версии и компоненты Kubernetes. В результате DoS-атаку можно провести против любого процесса с HTTP или HTTPS «слушателем» (listener).

Уязвимости, о которых идет речь, были найдены специалистами компаний Google и Netflix в составе различных имплементаций протокола HTTP/2. Уже тогда исследователи предупреждали, что баги могут затрагивать инфраструктуру Amazon, Apache, Apple, Facebook, Microsoft, nginx, Node.js, Ubuntu и так далее. И Kubernetes так же не стал исключением.

Из восьми найденных тогда проблем для Kubernetes представляют опасность уязвимости CVE-2019-9512 (Ping Flood) и CVE-2019-9514 (Reset Flood). Разработчики уже подготовили новые версии, с использованием исправленных версий Go, и настоятельно рекомендуют администраторам обновиться как можно скорее:

  • Kubernetes v1.15.3 —12.9;
  • Kubernetes v1.14.6 —12.9 ;
  • Kubernetes v1.13.10 —11.13.

Оставить мнение