摘要:?jiǎn)栴}是中等嚴(yán)重性�����,可以通過將升級(jí)到或來解決���。沒有與此漏洞相關(guān)的信息泄露或權(quán)限升級(jí)���。我們將其評(píng)為,中等�。請(qǐng)注意,如果您在中發(fā)現(xiàn)安全漏洞�����,請(qǐng)按照安全公開流程進(jìn)行報(bào)告。感謝和開發(fā)修復(fù)程序��,感謝修補(bǔ)程序發(fā)布經(jīng)理和協(xié)調(diào)發(fā)布���。
Kubernetes社區(qū)你好�,
在kube-apiserver中發(fā)現(xiàn)了拒絕服務(wù)漏洞��,其中具有API寫入權(quán)限的授權(quán)用戶可以在處理寫入請(qǐng)求時(shí)導(dǎo)致API服務(wù)器消耗過多的資源���。問題是中等嚴(yán)重性�����,可以通過將kube-apiserver升級(jí)到v1.11.8����、v1.12.6或v1.13.4來解決����。
我使用的版本是脆弱嗎?
以下版本的kube-apiserver易受攻擊:
v1.0.0-1.10.x
v1.11.0-1.11.7
v1.12.0-1.12.5
v1.13.0-1.13.3
如何在升級(jí)之前緩解漏洞�?
對(duì)不受信任的用戶刪除“patch”權(quán)限。
漏洞詳細(xì)信息
有權(quán)向Kubernetes API服務(wù)器發(fā)出補(bǔ)?����。╬atch)請(qǐng)求的用戶可以發(fā)送特制的“json-patch”補(bǔ)丁(例如kubectl patch --type json或“Content-Type: application/json-patch+json”)處理時(shí)消耗過多資源�,導(dǎo)致API服務(wù)器上的拒絕服務(wù)。沒有與此漏洞相關(guān)的信息泄露或權(quán)限升級(jí)�。
這漏洞提交為CVE-2019-1002100。我們將其評(píng)為CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H(6.5��,中等)����。請(qǐng)參閱GitHub問題#74534了解更多詳情。
謝謝
感謝Carl Henrik Lunde報(bào)告此問題����。請(qǐng)注意�����,如果您在Kubernetes中發(fā)現(xiàn)安全漏洞����,請(qǐng)按照安全公開流程進(jìn)行報(bào)告。
感謝Chao Xu和Jordan Liggitt開發(fā)修復(fù)程序��,感謝修補(bǔ)程序發(fā)布經(jīng)理Aleksandra Malinowska、Timothy Pepper�����、Pengfei Ni和Anirudh Ramanathan協(xié)調(diào)發(fā)布���。
-CJ Cullen代表Kubernetes產(chǎn)品安全團(tuán)隊(duì)
KubeCon + CloudNativeCon和Open Source Summit大會(huì)日期:
會(huì)議日程通告日期:2019 年 4 月 10 日
會(huì)議活動(dòng)舉辦日期:2019 年 6 月 24 至 26 日
KubeCon + CloudNativeCon和Open Source Summit贊助方案
KubeCon + CloudNativeCon和Open Source Summit多元化獎(jiǎng)學(xué)金現(xiàn)正接受申請(qǐng)
KubeCon + CloudNativeCon和Open Source Summit即將首次合體落地中國(guó)
KubeCon + CloudNativeCon和Open Source Summit購(gòu)票窗口���,立即購(gòu)票!
文章版權(quán)歸作者所有�,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/32892.html
