Kubernetes API Server中的一个拒绝服务漏洞已公开披露并分配到CVE-2019-11253上。此漏洞的初始严重等级为高,危险等级7.5。 详细信息在下面和在https://issue.k8s.io/83253
以下修复版本已发布:
- v1.13.12
- v1.14.8
- v1.15.5
- v1.16.2
详情
CVE-2019-11253是kube-apiserver中的一个拒绝服务漏洞,它允许授权用户发送恶意的YAML或JSON有效负载来导致kube-apiserver消耗过多的CPU或内存,从而可能崩溃并变得不可用。
在v1.14.0之前,默认的RBAC策略授权匿名用户可能触发此漏洞。从v1.14.0之前的版本升级的集群为了实现向后兼容,保留了更宽松的策略,要为匿名用户手动增加限制策略,请按照 https://issue.k8s.io/83253 上的缓解步骤进行操作。
受影响的组件:
- Kubernetes API server
受影响的版本:
- Kubernetes v1.0.0-1.12.x
- Kubernetes v1.13.0-1.13.11 (v1.13.12中已修复)
- Kubernetes v1.14.0-1.14.7 (v1.14.8中已修复)
- Kubernetes v1.15.0-1.15.4 (v1.15.5中已修复)
- Kubernetes v1.16.0-1.16.1 (v1.16.2中已修复)
升级前的缓解措施:
删除授权规则,这些规则授予未经身份验证的用户拥有“create”的权限。请参见 https://issue.k8s.io/83253
