Kubernetes严重漏洞致服务器DoS攻击

kubernetes，简称K8s，是用8代替8个字符“ubernete”而成的缩写。是谷歌用Go语言开发的一个开源的，用于管理云平台中多个主机上的容器化的应用。Kubernetes的目标是让部署容器化的应用简单并且高效（powerful）,Kubernetes提供了应用部署、规划、更新、维护的一种机制。

研究人员发现了2个影响所有Kubernetes开源系统版本的高危漏洞，非授权的攻击者利用漏洞可以触发DoS状态。

Kubernetes团队已经发布了修复的版本来解决新发现的漏洞，并拦截尝试利用漏洞的潜在攻击者。

影响Kubernetes全版本的安全漏洞

研究人员在Go语言的net/http库中发现了影响所有版本和Kubernetes组件的安全问题。漏洞会导致使用HTTP或HTTPS监听的所有进程进入DoS状态。Netflix在8月13日发现了多个将支持HTTP/2通信的服务器陷入DoS攻击的漏洞。Netflix发布的8个CVE漏洞中有2个影响Go和所有的Kubernetes组件，分别是CVE-2019-9512和CVE-2019-9514，这两个漏洞的CVSS v3.0分值为7.5，因为非可靠的客户端可以分配无限制的内存，直到服务器奔溃。

· CVE-2019-9512 Ping Flood: 攻击者不断发送ping到HTTP/2 对等端，导致对等端产生内部响应队列。根据数据排队的效率，会消耗过多的CPU和内存资源，引发DoS攻击。

· CVE-2019-9514 Reset Flood: 攻击者开启大量的流，并在每个流上发送无效的请求，这些流应该从对等端请求RST_STREAM帧的流。根据对等端对RST_STREAM帧排队的方式，会消耗过多的内存和CPU资源，导致DoS状态。

升级Kubernetes

Kubernetes已经发布了补丁来应对这些漏洞，研究人员建议所有管理员尽快升级到修复版本，具体包括：

• Kubernetes v1.15.3 - go1.12.9
• Kubernetes v1.14.6 - go1.12.9
• Kubernetes v1.13.10 - go1.11.13