0°

预警Kubernetes API服务器patch请求远程拒绝服务漏洞

2019年4月02日,监测到Kubernetes官方发布安全通告,披露了一个Kubernetes API服务器patch请求远程拒绝服务漏洞CVE-2019-1002100。

漏洞描述

拥有补丁权限的恶意用户通过发送特定超长的“json-patch”补丁请求(例如kubectl patch -type json或”Content-Type: application/json-patch+json”),会导致Kubernetes API服务器CPU资源耗尽而拒绝服务。

影响组件

Kubernetes API server

影响版本

Kubernetes v1.0.x-1.10.x

Kubernetes v1.11.0-1.11.7

Kubernetes v1.12.0-1.12.5

Kubernetes v1.13.0-1.13.3

安全版本

Kubernetes v1.11.8

Kubernetes v1.12.6

Kubernetes v1.13.4

风险评级

CVE-2019-1002100 高危

安全建议

升级Kubernetes至安全版本。

相关链接

https://github.com/kubernetes/kubernetes/issues/74534

「点点赞赏,手留余香」

    还没有人赞赏,快来当第一个赞赏的人吧!