Kubernetes安全公告：發布v1.11.8、1.12.6、1.13.4以解決中等嚴重性CVE-

mengbo 發布于2019-07-01 17:06 / 1606人閱讀

摘要：問題是中等嚴重性，可以通過將升級到或來解決。沒有與此漏洞相關的信息泄露或權限升級。我們將其評為，中等。請注意，如果您在中發現安全漏洞，請按照安全公開流程進行報告。感謝和開發修復程序，感謝修補程序發布經理和協調發布。

Kubernetes社區你好，

在kube-apiserver中發現了拒絕服務漏洞，其中具有API寫入權限的授權用戶可以在處理寫入請求時導致API服務器消耗過多的資源。問題是中等嚴重性，可以通過將kube-apiserver升級到v1.11.8、v1.12.6或v1.13.4來解決。

我使用的版本是脆弱嗎？

以下版本的kube-apiserver易受攻擊：

v1.0.0-1.10.x

v1.11.0-1.11.7

v1.12.0-1.12.5

v1.13.0-1.13.3

如何在升級之前緩解漏洞？

對不受信任的用戶刪除“patch”權限。

漏洞詳細信息

有權向Kubernetes API服務器發出補丁（patch）請求的用戶可以發送特制的“json-patch”補丁（例如kubectl patch --type json或“Content-Type: application/json-patch+json”）處理時消耗過多資源，導致API服務器上的拒絕服務。沒有與此漏洞相關的信息泄露或權限升級。

這漏洞提交為CVE-2019-1002100。我們將其評為CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H（6.5，中等）。請參閱GitHub問題#74534了解更多詳情。

謝謝

感謝Carl Henrik Lunde報告此問題。請注意，如果您在Kubernetes中發現安全漏洞，請按照安全公開流程進行報告。

感謝Chao Xu和Jordan Liggitt開發修復程序，感謝修補程序發布經理Aleksandra Malinowska、Timothy Pepper、Pengfei Ni和Anirudh Ramanathan協調發布。

-CJ Cullen代表Kubernetes產品安全團隊

KubeCon + CloudNativeCon和Open Source Summit大會日期：

會議日程通告日期：2019 年 4 月 10 日

會議活動舉辦日期：2019 年 6 月 24 至 26 日

KubeCon + CloudNativeCon和Open Source Summit贊助方案
KubeCon + CloudNativeCon和Open Source Summit多元化獎學金現正接受申請
KubeCon + CloudNativeCon和Open Source Summit即將首次合體落地中國
KubeCon + CloudNativeCon和Open Source Summit購票窗口，立即購票！

GPU云服務器云服務器開源負載均衡器HAProxy嚴重安全漏洞阿里云雙11安全公告和技術組團優惠阿里云雙11安全公告和技術有折扣嗎 CVE

文章版權歸作者所有，未經允許請勿轉載,若此文章存在違規行為，您可以聯系管理員刪除。

轉載請注明本文地址：http://specialneedsforspecialkids.com/yun/32892.html

K8S新安全漏洞的應對之策：API Server拒絕服務漏洞

摘要：爆出中等嚴重性安全漏洞拒絕服務漏洞。本文將進行漏洞解讀和情景再現，并分享漏洞修復方案，用戶來看應對之策了漏洞美國當地時間年月日，社區發布了拒絕服務的漏洞，即有寫入權限的用戶在寫入資源時會導致過度消耗資源，此漏洞被評級為中等嚴重性。 Kubernetes爆出中等嚴重性安全漏洞——Kubernetes API Server拒絕服務漏洞CVE-2019-1002100。本文將進行漏洞解讀和...

defcon 2019-07-01 17:07 評論0 收藏0
Kubernetes新近kubectl及CNI漏洞修復，Rancher 2.2.1發布

摘要：今天，發布了一系列補丁版本，修復新近發現的兩個安全漏洞命令安全漏洞和端口映射插件漏洞。因為端口映射插件是嵌入到版本中的，只有升級至新版本的才能解決此問題。現在修復之后，將端口映射插件的規則由最優先變為附加，則可以讓流量優先由規則處理。今天，Kubernetes發布了一系列補丁版本，修復新近發現的兩個安全漏洞CVE-2019-1002101（kubectl cp命令安全漏洞）和CVE-...

dkzwm 2019-07-01 17:13 評論0 收藏0
Zoom漏洞可使攻擊者攔截數據攻擊客戶基礎設施

摘要：云視頻會議提供商發布了針對其產品中多個漏洞的補丁，這些漏洞可能讓犯罪分子竊取會議數據并攻擊客戶基礎設施。研究人員表示，這些漏洞使得攻擊者可以輸入命令來執行攻擊，從而以最大權限獲得服務器訪問權。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hid...

morgan 2021-11-18 10:02 評論0 收藏0
Runc和CVE-2019-5736

摘要：中國論壇提案征集月日截止論壇讓用戶開發人員從業人員匯聚一堂，面對面進行交流合作。贊助方案出爐多元化獎學金現正接受申請即將首次合體落地中國 2月11日早上有宣布關于runc中的容器逃逸漏洞。我們希望為Kubernetes用戶提供一些指導，以確保每個人都安全。 Runc是什么？簡單來說，runc是一個低層工具，它負責大量生成Linux容器。Docker、Containerd和CRI-O等...

blastz 2019-07-01 17:03 評論0 收藏0
新近爆出的runC容器逃逸漏洞，用戶如何面對？

摘要：漏洞披露后，在第一時間發布了，用戶可升級到此版本以修復該漏洞。年年底被爆出的首個嚴重安全漏洞，就是由聯合創始人及首席架構師發現的。年月被爆出儀表盤和外部代理安全漏洞時，也是第一時間向用戶響應，確保所有和的用戶都完全不被漏洞影響。 runC是一個根據OCI（Open Container Initiative）標準創建并運行容器的CLI工具，目前Docker引擎內部也是基于runc構建的。...

trigkit4 2019-06-28 18:00 評論0 收藏0