Kubernetes的apiserver安全漏洞CVE-2019-11253,过多的CPU或内存消耗,导致服务崩溃[高]

半兽人 发表于: 2019-10-23   最后更新时间: 2019-10-23  

Kubernetes API Server中的一个拒绝服务漏洞已公开披露并分配到CVE-2019-11253上。此漏洞的初始严重等级为高,危险等级7.5。 详细信息在下面和在https://issue.k8s.io/83253

以下修复版本已发布:

  • v1.13.12
  • v1.14.8
  • v1.15.5
  • v1.16.2

详情

CVE-2019-11253kube-apiserver中的一个拒绝服务漏洞,它允许授权用户发送恶意的YAML或JSON有效负载来导致kube-apiserver消耗过多的CPU或内存,从而可能崩溃并变得不可用。

在v1.14.0之前,默认的RBAC策略授权匿名用户可能触发此漏洞。从v1.14.0之前的版本升级的集群为了实现向后兼容,保留了更宽松的策略,要为匿名用户手动增加限制策略,请按照 https://issue.k8s.io/83253 上的缓解步骤进行操作。

受影响的组件:

  • Kubernetes API server

受影响的版本:

  • Kubernetes v1.0.0-1.12.x
  • Kubernetes v1.13.0-1.13.11 (v1.13.12中已修复)
  • Kubernetes v1.14.0-1.14.7 (v1.14.8中已修复)
  • Kubernetes v1.15.0-1.15.4 (v1.15.5中已修复)
  • Kubernetes v1.16.0-1.16.1 (v1.16.2中已修复)

升级前的缓解措施:

删除授权规则,这些规则授予未经身份验证的用户拥有“create”的权限。请参见 https://issue.k8s.io/83253



您需要解锁本帖隐藏内容请: 点击这里
本帖隐藏的内容




上一条: 到头了!
下一条: Kubernetes圣地亚哥贡献者全球峰会!