HTTP/2 现安全漏洞 Kubernetes发布安全更新

Posted 2021-04-16 开源村OSV

Netflix、Google及CERT/CC在日前揭露了攸关HTTP/2实现的8个安全漏洞，本周容器管理项目Kubernetes指出，用来打造Kubernetes的Go语言，受到其中两个漏洞的波及，也让Kubernetes遭蒙池鱼之殃，导致所有版本都受到相关漏洞的影响，可能造成服务阻断。

HTTP/2为新一代的HTTP传输协定标准，它是该协定自1999年发布HTTP 1.1之后的首个更新，但近日却被发现含有从CVE-2019-9511～CVE-2019-9518的8个安全漏洞，所有的漏洞都可能导致服务阻断（DoS），相关漏洞影响了部署HTTP/2的业者或服务，包括Go语言在内。

K8s贡献者、亦为AWS系统开发工程师的Micah Hausler本周指出，Go语言的net/http函数库存在着CVE-2019-9512与CVE-2019-9514两个安全漏洞，造成任何基于HTTP或HTTPS接听器的程序发生服务阻断，而且波及K8s的所有版本及元件。

Go已经发布Go1.12.9与Go1.11.13来修补这两个漏洞，而K8s则是基于Go的修补发布K8s v1.15.3、K8s v1.14.6与K8s v1.13.10，Hausler建议K8s 用户应尽快升级到最新版本。

—完—

扫描二维码

进群讨论

以开源的思想做开源社区。关注OpenStack、K8s、Linux等开源技术方向。