В библиотеке net / http языка Go обнаружена проблема безопасности, которая затрагивает все версии и все компоненты Kubernetes. Уязвимости могут привести к DoS для любого процесса с прослушивателем HTTP или HTTPS.
Я уязвим?
Да Все версии Kubernetes затронуты.
Go выпустил версии go1.12.8 и go1.11.13, и на их основе были выпущены следующие версии Kubernetes, созданные с использованием исправленных версий Go.
- Kubernetes v1.15.3 — go1.12.9
- Kubernetes v1.14.6 — go1.12.9
- Kubernetes v1.13.10 — go1.11.13
Как мне исправить уязвимость?
Обновление до исправленной версии Kubernetes, перечисленной выше.
Как мне обновить?
После выпуска новых версий вы можете следовать инструкциям по обновлению по адресу https://kubernetes.io/docs/tasks/administer-cluster/cluster-management/#upgrading-a-cluster.
Детали уязвимости
Netflix недавно анонсировал рекомендации по безопасности, которые идентифицировали несколько векторов атак типа «отказ в обслуживании», которые могут повлиять на реализацию протокола HTTP/2 на сервере, и выпустил восемь CVE. [1]
На Go влияют две уязвимости (CVE-2019-9512 и CVE-2019-9514), поэтому также затрагиваются компоненты Kubernetes, которые обслуживают трафик HTTP/2 (включая / healthz). [2]
Эти уязвимости позволяют ненадежным клиентам выделять неограниченный объем памяти до тех пор, пока не произойдет сбой сервера. Комитет по безопасности продуктов назначил этот набор уязвимостей с оценкой CVSS 7,5
[1]. https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-002.md
[2]. https://golang.org/doc/devel/release.html#go1.12
Спасибо Джонатану Луни из Netflix за обнаружение и сообщение об этих проблемах сообществу Go.
Благодарим Кристофа Блекера, Бенджамина Элдера и Тима Пеппера за координацию исправления и выпуска.
Нужна помощь в обновлении, обращайтесь [email protected]