Kubernetes安全公告：發佈v1.11.八、1.12.六、1.13.4以解決中等嚴重性CVE-2019-1002100

時間 2021-05-04

標籤 linux git github json api 安全服務器 app server 欄目系統安全简体版

原文原文鏈接

Kubernetes社區你好，linux

在kube-apiserver中發現了拒絕服務漏洞，其中具備API寫入權限的受權用戶能夠在處理寫入請求時致使API服務器消耗過多的資源。問題是中等嚴重性，能夠經過將kube-apiserver升級到v1.11.八、v1.12.6或v1.13.4來解決。git

我使用的版本是脆弱嗎？

如下版本的kube-apiserver易受攻擊：github

v1.0.0-1.10.x
v1.11.0-1.11.7
v1.12.0-1.12.5
v1.13.0-1.13.3

如何在升級以前緩解漏洞？

對不受信任的用戶刪除「patch」權限。json

漏洞詳細信息

有權向Kubernetes API服務器發出補丁（patch）請求的用戶能夠發送特製的「json-patch」補丁（例如kubectl patch --type json或「Content-Type: application/json-patch+json」）處理時消耗過多資源，致使API服務器上的拒絕服務。沒有與此漏洞相關的信息泄露或權限升級。api

這漏洞提交爲CVE-2019-1002100。咱們將其評爲CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H（6.5，中等）。請參閱GitHub問題#74534瞭解更多詳情。安全

謝謝服務器

感謝Carl Henrik Lunde報告此問題。請注意，若是您在Kubernetes中發現安全漏洞，請按照安全公開流程進行報告。app

感謝Chao Xu和Jordan Liggitt開發修復程序，感謝修補程序發佈經理Aleksandra Malinowska、Timothy Pepper、Pengfei Ni和Anirudh Ramanathan協調發布。server

-CJ Cullen表明Kubernetes產品安全團隊ip

KubeCon + CloudNativeCon和Open Source Summit大會日期：