资讯专栏INFORMATION COLUMN

Kubernetes安全公告:发布v1.11.8、1.12.6、1.13.4以解决中等严重性CVE-

mengbo / 1581人阅读

摘要:问题是中等严重性,可以通过将升级到或来解决。没有与此漏洞相关的信息泄露或权限升级。我们将其评为,中等。请注意,如果您在中发现安全漏洞,请按照安全公开流程进行报告。感谢和开发修复程序,感谢修补程序发布经理和协调发布。

Kubernetes社区你好,

在kube-apiserver中发现了拒绝服务漏洞,其中具有API写入权限的授权用户可以在处理写入请求时导致API服务器消耗过多的资源。问题是中等严重性,可以通过将kube-apiserver升级到v1.11.8、v1.12.6或v1.13.4来解决。

我使用的版本是脆弱吗?

以下版本的kube-apiserver易受攻击:

v1.0.0-1.10.x

v1.11.0-1.11.7

v1.12.0-1.12.5

v1.13.0-1.13.3

如何在升级之前缓解漏洞?

对不受信任的用户删除“patch”权限。

漏洞详细信息

有权向Kubernetes API服务器发出补丁(patch)请求的用户可以发送特制的“json-patch”补丁(例如kubectl patch --type json或“Content-Type: application/json-patch+json”)处理时消耗过多资源,导致API服务器上的拒绝服务。没有与此漏洞相关的信息泄露或权限升级。

这漏洞提交为CVE-2019-1002100。我们将其评为CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H(6.5,中等)。请参阅GitHub问题#74534了解更多详情。

谢谢

感谢Carl Henrik Lunde报告此问题。请注意,如果您在Kubernetes中发现安全漏洞,请按照安全公开流程进行报告。

感谢Chao Xu和Jordan Liggitt开发修复程序,感谢修补程序发布经理Aleksandra Malinowska、Timothy Pepper、Pengfei Ni和Anirudh Ramanathan协调发布。

-CJ Cullen代表Kubernetes产品安全团队


KubeCon + CloudNativeCon和Open Source Summit大会日期:

会议日程通告日期:2019 年 4 月 10 日

会议活动举办日期:2019 年 6 月 24 至 26 日

KubeCon + CloudNativeCon和Open Source Summit赞助方案
KubeCon + CloudNativeCon和Open Source Summit多元化奖学金现正接受申请
KubeCon + CloudNativeCon和Open Source Summit即将首次合体落地中国
KubeCon + CloudNativeCon和Open Source Summit购票窗口,立即购票!

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/32892.html

相关文章

  • K8S新安全漏洞的应对之策:API Server拒绝服务漏洞

    摘要:爆出中等严重性安全漏洞拒绝服务漏洞。本文将进行漏洞解读和情景再现,并分享漏洞修复方案,用户来看应对之策了漏洞美国当地时间年月日,社区发布了拒绝服务的漏洞,即有写入权限的用户在写入资源时会导致过度消耗资源,此漏洞被评级为中等严重性。 Kubernetes爆出中等严重性安全漏洞——Kubernetes API Server拒绝服务漏洞CVE-2019-1002100。 本文将进行漏洞解读和...

    defcon 评论0 收藏0
  • Kubernetes新近kubectl及CNI漏洞修复,Rancher 2.2.1发布

    摘要:今天,发布了一系列补丁版本,修复新近发现的两个安全漏洞命令安全漏洞和端口映射插件漏洞。因为端口映射插件是嵌入到版本中的,只有升级至新版本的才能解决此问题。现在修复之后,将端口映射插件的规则由最优先变为附加,则可以让流量优先由规则处理。 今天,Kubernetes发布了一系列补丁版本,修复新近发现的两个安全漏洞CVE-2019-1002101(kubectl cp命令安全漏洞)和CVE-...

    dkzwm 评论0 收藏0
  • Zoom漏洞可使攻击者拦截数据攻击客户基础设施

    摘要:云视频会议提供商发布了针对其产品中多个漏洞的补丁,这些漏洞可能让犯罪分子窃取会议数据并攻击客户基础设施。研究人员表示,这些漏洞使得攻击者可以输入命令来执行攻击,从而以最大权限获得服务器访问权。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hid...

    morgan 评论0 收藏0
  • Runc和CVE-2019-5736

    摘要:中国论坛提案征集月日截止论坛让用户开发人员从业人员汇聚一堂,面对面进行交流合作。赞助方案出炉多元化奖学金现正接受申请即将首次合体落地中国 2月11日早上有宣布关于runc中的容器逃逸漏洞。我们希望为Kubernetes用户提供一些指导,以确保每个人都安全。 Runc是什么? 简单来说,runc是一个低层工具,它负责大量生成Linux容器。Docker、Containerd和CRI-O等...

    blastz 评论0 收藏0
  • 新近爆出的runC容器逃逸漏洞,用户如何面对?

    摘要:漏洞披露后,在第一时间发布了,用户可升级到此版本以修复该漏洞。年年底被爆出的首个严重安全漏洞,就是由联合创始人及首席架构师发现的。年月被爆出仪表盘和外部代理安全漏洞时,也是第一时间向用户响应,确保所有和的用户都完全不被漏洞影响。 runC是一个根据OCI(Open Container Initiative)标准创建并运行容器的CLI工具,目前Docker引擎内部也是基于runc构建的。...

    trigkit4 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<