被HTTP/2漏洞拖累,所有Kubernetes版本受影响

Posted K8S中文社区

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了被HTTP/2漏洞拖累,所有Kubernetes版本受影响相关的知识,希望对你有一定的参考价值。


Netflix、GoogleCERT/CC 近日揭露了有关HTTP/2的8个安全漏洞,本周Kubernetes项目发现受到其中两个漏洞的影响,也让Kubernetes遭蒙池鱼之殃,导致所有版本都受到相关漏洞的影响,可能造成服务中断
 
HTTP/2为新一代的HTTP传输协议标准,该协议1999年发布HTTP 1.1之后的首个更新,但近日却被发现含有从CVE-2019-9511CVE-2019-95188个安全漏洞,所有的漏洞都可能导致服务中断DoS),相关漏洞影响了部署HTTP/2的业者或服务,包括Go语言在内。
 
K8s贡献者、AWS系统开发工程师Micah Hausler本周指出,Go语言的net/http库存在着CVE-2019-9512CVE-2019-9514两个安全漏洞,造成任何基于HTTPHTTPS接听器的程序发生服务中断,而且波及K8s的所有版本及组件。
 
Go已经发布Go1.12.9Go1.11.13来修补这两个漏洞,而K8s则是基于Go修补发布K8s v1.15.3K8s v1.14.6K8s v1.13.10Hausler建议K8s用户应尽快升级到最新版本。

参考:
https://www.ithome.com.tw/news/132540
https://groups.google.com/forum/#!topic/kubernetes-security-announce/wlHLHit1BqA

推荐阅读



以上是关于被HTTP/2漏洞拖累,所有Kubernetes版本受影响的主要内容,如果未能解决你的问题,请参考以下文章

HTTP/2 最新漏洞,直指 Kubernetes!

HTTP/2 现安全漏洞 Kubernetes发布安全更新

K8s爆严重安全漏洞?有何应对措施与建议

微软统一所有平台的Edge代码库;大学教授向Linux提交漏洞代码致学校被拉黑;苹果M1版Mac的销量超过英特尔版 | 前端周报

[K8s]Kubernetes-集群管理

刚刚 Kubernetes 1.25 正式发布,所有变化都在这儿了