В библиотеке net / http языка Go обнаружена проблема безопасности, которая затрагивает все версии и все компоненты Kubernetes. Уязвимости могут привести к DoS для любого процесса с прослушивателем HTTP или HTTPS.

Я уязвим?

Да Все версии Kubernetes затронуты.

Go выпустил версии go1.12.8 и go1.11.13, и на их основе были выпущены следующие версии Kubernetes, созданные с использованием исправленных версий Go.

  • Kubernetes v1.15.3 — go1.12.9
  • Kubernetes v1.14.6 — go1.12.9
  • Kubernetes v1.13.10 — go1.11.13

Как мне исправить уязвимость?

Обновление до исправленной версии Kubernetes, перечисленной выше.

Как мне обновить?

После выпуска новых версий вы можете следовать инструкциям по обновлению по адресу https://kubernetes.io/docs/tasks/administer-cluster/cluster-management/#upgrading-a-cluster.

Детали уязвимости

Netflix недавно анонсировал рекомендации по безопасности, которые идентифицировали несколько векторов атак типа «отказ в обслуживании», которые могут повлиять на реализацию протокола HTTP/2 на сервере, и выпустил восемь CVE. [1]

На Go влияют две уязвимости (CVE-2019-9512 и CVE-2019-9514), поэтому также затрагиваются компоненты Kubernetes, которые обслуживают трафик HTTP/2 (включая / healthz). [2]

Эти уязвимости позволяют ненадежным клиентам выделять неограниченный объем памяти до тех пор, пока не произойдет сбой сервера. Комитет по безопасности продуктов назначил этот набор уязвимостей с оценкой CVSS 7,5

[1]. https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-002.md

[2]. https://golang.org/doc/devel/release.html#go1.12

Спасибо Джонатану Луни из Netflix за обнаружение и сообщение об этих проблемах сообществу Go.

Благодарим Кристофа Блекера, Бенджамина Элдера и Тима Пеппера за координацию исправления и выпуска.

Нужна помощь в обновлении, обращайтесь [email protected]