【漏洞预警】Kubernetes API服务器patch请求远程拒绝服务漏洞

2019年4月02日,阿里云云盾应急响应中心监测到Kubernetes官方发布安全通告,披露了一个Kubernetes API服务器patch请求远程拒绝服务漏洞CVE-2019-1002100。

漏洞描述

拥有补丁权限的恶意用户通过发送特定超长的“json-patch”补丁请求(例v U G E XW E r ; e _ u Hkubectl patch -type json或"Conteng ` = $ * b L Vt-y f Y G ) # S % AType: application/json-patch+jsor ? d vn"),会导致Kubernetes AV / N r S J H aPI服务器CPU资源耗尽而拒绝服务。

影响组件

Kubernetes API server

影响版本

Kubernetes v1.0.x-1.10.x

Kubernetes v1.11.0-1.11.7n * j ( E c .

Kubernetes v1.1( / / ) a s F t q2.0-1.12.5

Kuber* F Y nnetes v1.13.0-1.13.3

安全版本

K/ W lubernetes v1.11.8

Kubernetes v1.12.6

Kubernetes v1.13.4

风险评级

CV5 [ kE-2019-1002100 高危

安全建议

升级Kubernetes至安全版w i ` A本。

相关链接

https://github.com/kubernetes/kubernetes/i$ [ A v /ssues/74534

我们会关注后续进展,请随时关注官方公告。I ^ X P q z _ %

如有任何问题,W ; [ a e S q J可随时通过工单或服务电话95187联系反馈。

阿里云云盾应急响应中t c = ; ) 4 7 M X

2019.4.02