2019年4月02日,阿里云云盾应急响应中心监测到Kubernetes官方发布安全通告,披露了一个Kubernetes API服务器patch请求远程拒绝服务漏洞CVE-2019-1002100。
漏洞描述
拥有补丁权限的恶意用户通过发送特定超长的“json-patch”补丁请求(例v U G E X如W E r ; e _ u Hkubectl patch -type json或"Conteng ` = $ * b L Vt-y f Y G ) # S % AType: application/json-patch+jsor ? d vn"),会导致Kubernetes AV / N r S J H aPI服务器CPU资源耗尽而拒绝服务。
影响组件
Kubernetes API server
影响版本
Kubernetes v1.0.x-1.10.x
Kubernetes v1.11.0-1.11.7n * j ( E c .
Kubernetes v1.1( / / ) a s F t q2.0-1.12.5
Kuber* F Y nnetes v1.13.0-1.13.3
安全版本
K/ W lubernetes v1.11.8
Kubernetes v1.12.6
Kubernetes v1.13.4
风险评级
CV5 [ kE-2019-1002100 高危
安全建议
升级Kubernetes至安全版w i ` A本。
相关链接
https://github.com/kubernetes/kubernetes/i$ [ A v /ssues/74534
我们会关注后续进展,请随时关注官方公告。I ^ X P q z _ %
如有任何问题,W ; [ a e S q J可随时通过工单或服务电话95187联系反馈。
阿里云云盾应急响应中t c = ; ) 4 7 M X心
2019.4.02