【安全预警】Kubernetes API Server高危DoS漏洞安全预警(CVE-2019-11253)
摘要:
尊敬的腾讯云客户, 您好:
近日,腾讯云安全中心监测到Kubernetes官方披露了Kubernetes API Server存在的一个高危拒绝服务漏洞(CVE-2019-11253),具备一定权限的攻击者可向目标服务器发送特殊构造的恶意YAML或JSON攻击包,导致kube-apiserver CPU或内存耗尽,无法正常提供服务。
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
2019年10月17日,腾讯云安全中心监测到Kubernetes官方发布一则安全公告,披露了Kubernetes API Server存在的高危DoS漏洞(编号:CVE-2019-11253),具备一定权限的攻击者通过发送恶意的 YAML 或 JSON 格式的攻击包可导致 kube-apiserver CPU或内存资源耗尽,无法正常提供服务,1.14.0之前的版本由于默认RBAC策略允许匿名用户提交请求,故之前版本均在受影响范围。
【风险等级】
高风险
【漏洞风险】
漏洞可导致Kubernetes API Server内存或CPU资源耗尽,无法正常提供服务
【影响版本】
Kubernetes v1.0.0-1.12.x
Kubernetes v1.13.0-1.13.11(v1.13.12 版本已修复)
Kubernetes v1.14.0-1.14.7 (v1.14.8 版本已修复)
Kubernetes v1.15.0-1.15.4 (v1.15.5 版本已修复)
Kubernetes v1.16.0-1.16.1 (v1.16.2 版本已修复)
【安全版本】
Kubernetes v1.13.12
Kubernetes v1.14.8
Kubernetes v1.15.5
Kubernetes v1.16.2
【修复建议】
Kubernetes官方已发布新版本修复该漏洞,腾讯云安全团队建议您:
1)限制集群对外访问,若您因业务需要开放了集群外网访问,请通过安全组设置严格的放通IP白名单,请勿配置0.0.0.0/0放通全部来源;
2)采用官方的预更新缓解方案: 移除对非授权用户的“create” 权限规则, 详细操作可参见官方修复指引:issue.k8s.io/83253
【漏洞参考】