被HTTP/2漏洞拖累，所有Kubernetes版本受影响

Posted 2021-04-16 K8S中文社区

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了被HTTP/2漏洞拖累，所有Kubernetes版本受影响相关的知识，希望对你有一定的参考价值。

Netflix、Google及CERT/CC 近日揭露了有关HTTP/2的8个安全漏洞，本周Kubernetes项目发现受到其中两个漏洞的影响，也让Kubernetes遭蒙池鱼之殃，导致所有版本都受到相关漏洞的影响，可能造成服务中断。

HTTP/2为新一代的HTTP传输协议标准，该协议自1999年发布HTTP 1.1之后的首个更新，但近日却被发现含有从CVE-2019-9511～CVE-2019-9518的8个安全漏洞，所有的漏洞都可能导致服务中断（DoS），相关漏洞影响了部署HTTP/2的业者或服务，包括Go语言在内。

K8s贡献者、AWS系统开发工程师Micah Hausler本周指出，Go语言的net/http库存在着CVE-2019-9512与CVE-2019-9514两个安全漏洞，造成任何基于HTTP或HTTPS接听器的程序发生服务中断，而且波及K8s的所有版本及组件。

Go已经发布Go1.12.9与Go1.11.13来修补这两个漏洞，而K8s则是基于Go的修补发布K8s v1.15.3、K8s v1.14.6与K8s v1.13.10，Hausler建议K8s用户应尽快升级到最新版本。

参考：

https://www.ithome.com.tw/news/132540

https://groups.google.com/forum/#!topic/kubernetes-security-announce/wlHLHit1BqA