乐趣区

Kubernetes安全公告:发布v1.11.8、1.12.6、1.13.4以解决中等严重性CVE-2019-1002100

Kubernetes 社区你好,
在 kube-apiserver 中发现了拒绝服务漏洞,其中具有 API 写入权限的授权用户可以在处理写入请求时导致 API 服务器消耗过多的资源。问题是中等严重性,可以通过将 kube-apiserver 升级到 v1.11.8、v1.12.6 或 v1.13.4 来解决。
我使用的版本是脆弱吗?
以下版本的 kube-apiserver 易受攻击:

v1.0.0-1.10.x
v1.11.0-1.11.7
v1.12.0-1.12.5
v1.13.0-1.13.3

如何在升级之前缓解漏洞?
对不受信任的用户删除“patch”权限。
漏洞详细信息
有权向 Kubernetes API 服务器发出补丁(patch)请求的用户可以发送特制的“json-patch”补丁(例如 kubectl patch –type json 或“Content-Type: application/json-patch+json”)处理时消耗过多资源,导致 API 服务器上的拒绝服务。没有与此漏洞相关的信息泄露或权限升级。
这漏洞提交为 CVE-2019-1002100。我们将其评为 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H(6.5,中等)。请参阅 GitHub 问题 #74534 了解更多详情。
谢谢
感谢 Carl Henrik Lunde 报告此问题。请注意,如果您在 Kubernetes 中发现安全漏洞,请按照安全公开流程进行报告。
感谢 Chao Xu 和 Jordan Liggitt 开发修复程序,感谢修补程序发布经理 Aleksandra Malinowska、Timothy Pepper、Pengfei Ni 和 Anirudh Ramanathan 协调发布。
-CJ Cullen 代表 Kubernetes 产品安全团队

KubeCon + CloudNativeCon 和 Open Source Summit 大会日期:

会议日程通告日期:2019 年 4 月 10 日
会议活动举办日期:2019 年 6 月 24 至 26 日

KubeCon + CloudNativeCon 和 Open Source Summit 赞助方案 KubeCon + CloudNativeCon 和 Open Source Summit 多元化奖学金现正接受申请 KubeCon + CloudNativeCon 和 Open Source Summit 即将首次合体落地中国 KubeCon + CloudNativeCon 和 Open Source Summit 购票窗口,立即购票!

退出移动版