Kubernetes爆出中等严重性安全漏洞——Kubernetes API Server拒绝服务漏洞CVE-2019-1002100。
本文将进行漏洞解读和情景再现,并分享漏洞修复方案,Rancher用户来看应对之策了!
CVE-2019-1002100漏洞
美国当地时间2019年3月2日,Kubernetes社区发布了Kubernetes API server拒绝服务的漏洞(CVE-2019-1002100),即有API写入权限的用户在写入资源时会导致Kubernetes API server过度消耗资源,此漏洞被评级为【中等严重性】。
此漏洞表现为用户在向Kubernetes API server发送 json-patch规则的补丁包来更新资源对象时(例如kubectl patch xxx --type json 或者“Content-Type: application/json-patch+json”),Kubernetes API server会消耗极大的资源,最终导致API server拒绝连接。
https://github.com/kubernetes/kubernetes/issues/74534
情景再现
一个json-patch的例子:
kubectl patch deployment test --type='json' -p '[{"op": "add",