Kubernetes apiserver安全漏洞，过多的CPU或内存消耗，导致服务崩溃[高]

Kubernetes API Server中的一个拒绝服务漏洞已公开披露并分配到CVE-2019-11253
上。此漏洞的初始严重等级为高，危险等级7.5。详细信息在下面和在 https://issue.k8s.io/83253

以下修复版本已发布：

• v1.13.12

• v1.14.8

• v1.15.5

• v1.16.2

  
  

详情

CVE-2019-11253
是kube-apiserver
中的一个拒绝服务漏洞，它允许授权用户发送恶意的YAML或JSON有效负载来导致kube-apiserver消耗过多的CPU或内存，从而可能崩溃并变得不可用。

在v1.14.0之前，默认的RBAC策略授权匿名用户可能触发此漏洞。从v1.14.0之前的版本升级的集群为了实现向后兼容，保留了更宽松的策略，要为匿名用户手动增加限制策略，请按照 https://issue.k8s.io/83253 上的缓解步骤进行操作。

受影响的组件:

• Kubernetes API server

  
  

受影响的版本:

• Kubernetes v1.0.0-1.12.x

• Kubernetes v1.13.0-1.13.11 (v1.13.12中已修复)

• Kubernetes v1.14.0-1.14.7 (v1.14.8中已修复)

• Kubernetes v1.15.0-1.15.4 (v1.15.5中已修复)

• Kubernetes v1.16.0-1.16.1 (v1.16.2中已修复)

  
  

升级前的缓解措施：

删除授权规则，这些规则授予未经身份验证的用户拥有“create”的权限。请参见 https://issue.k8s.io/83253

关注我们，获取最新技术一手动态。