Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面前!( 二 )_：Kubernetes的严重漏洞将所有服务器暴

Kubernetes产品安全委员会的Micah Hausler在Kubernetes安全问题公告列表上透露：“Go语言的net/http库中发现了一个安全问题，影响了Kubernetes的所有版本和所有组件。”

“这些漏洞可能导致采用HTTP或HTTPS侦听器的任何进程面临DoS，”所有版本的Kubernetes都受到影响。

Netflix在8月13日宣布发现了多个漏洞，这些漏洞使本身支持HTTP/2通信的服务器暴露在DoS攻击面前。

在Netflix与安全公告一同发布的八个CVE中，其中两个还影响Go和旨在服务于HTTP/2流量(包括 /healthz)的所有Kubernetes组件。

标为CVE-2019-9512和CVE-2019-9514的这两个漏洞已被Kubernetes产品安全委员会定为CVSS v3.0基础分7.5;这两个漏洞使“不可信任的客户端可以分配无限量的内存，直到服务器崩溃。”

CVE-2019-9512 Ping Flood：攻击者向HTTP/2对等体(peer)发送连续ping，导致对等体建立内部响应队列。这可能消耗过多的CPU、内存或CPU和内存——这取决于该数据的队列多高效，从而可能导致拒绝服务攻击。 CVE-2019-9514 Rest Flood：攻击者打开多路数据流，并在每路数据流上发送无效请求，从而从对等体获得RST_STREAM帧数据流。这会消耗过多的内存、CPU或CPU和内存——这取决于对等体如何将RST_STREAM帧列入队列，从而可能导致拒绝服务攻击。