【安全预警】Kubernetes Go语言net/http库DoS安全漏洞风险预警
摘要:
尊敬的腾讯云客户,您好!
近日,腾讯云安全中心 监测到 Kubernetes Go语言net/http库被曝存在DoS问题(漏洞编号:CVE-2019-9512 和 CVE-2019-9514),被攻击者利用将会允许不受信任的客户端分配无限量的内存,导致服务器崩溃,服务不可用。
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
由于Go受两个漏洞(CVE-2019-9512 及 CVE-2019-9514)影响,因此服务于HTTP / 2流量(包括/ healthz)的Kubernetes组件也会受到影响,这些漏洞被利用,会允许不受信任的客户端分配无限量的内存,引起服务器资源耗尽导致崩溃。
【影响版本】
存量还未升级的 Kubernetes版本
【安全版本】
Kubernetes v1.10.5 tke.9及以上版本
Kubernetes v1.12.4 tke.10及以上版本
Kubernetes v1.14.3 tke.2及以上版本
Kubernetes v1.12.4 tke.10及以上版本
Kubernetes v1.14.3 tke.2及以上版本
【修复建议】
升级您的 Kubernetes 至【安全版本】
注意事项:请提交工单开通集群Master升级, 可以将节点移出集群再加入,完成节点升级 (该操作会导致节点重启和重装系统,节点上的业务容器均会受到影响,升级前请做好评估和预案)
【漏洞参考】