Netflix发现了严重的Kubernetes HTTP / 2漏洞

最新推荐文章于 2024-05-30 07:38:07 发布
最新推荐文章于 2024-05-30 07:38:07 发布
阅读量280 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lQ1NS259ej3OKYvK4Jf/article/details/100137805
版权
在了解互联网的HTTP / 2协议如何工作的时候,Netflix工程师发现了Kubernetes的一系列漏洞。主要的漏洞是在用Go语言编写的net / https库中找到...
摘要由CSDN通过智能技术生成

在了解互联网的HTTP / 2协议如何工作的时候,Netflix工程师发现了Kubernetes的一系列漏洞。主要的漏洞是在用Go语言编写的net / https库中找到的。因为这些漏洞在这个特定的库中被发现,所以Kubernetes的每个版本和每个组件都会受到影响。Kubernetes产品安全委员会已经将这两个漏洞打分为7.5分(表示很严重)。这两个漏洞是:——CVE-2019-9512 Ping Flood。这使攻击者能够向HTTP / 2 peer发送连续的ping请求,从而使peer创建内部响应队列。发生这种情况时,可以占用服务器的CPU和内存,这可能导致拒绝服务。

——CVE-2019-9514 Reset Flood。这使攻击者能够打开多个流,这些流用于发送从peer请求RS_STREAM帧的无效请求。如果peer不正确地对RST_STREAM帧进行排队,就会占用服务器的CPU和内存,这可能导致拒绝服务。

所有八个漏洞都会影响Kubernetes。虽然还在等待NIST的分析,Kubernetes已经发布了以下版本的补丁:Kubernetes v1.15.3  -  go1.12.9Kubernetes v1.14.6  -  go1.12.9Kubernetes v1.13.10  -  go1.11.13

用户必须将Kubernetes的每个实例升级到上述迭代之一,否则,它们将容易受到攻击。当然,升级Kubernetes实例的方式取决于它们的部署方式(在数据中心服务器上,或通过Google Cloud、AWS等)。请务必查阅有关部署升级过程的官方Kubernetes文档。

这些漏洞如何运作

每个Kubernetes漏洞都通过以下步

最低0.47元/天 解锁文章
开源云中文社区
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8S 生态周报| Kubernetes 爆出全版本漏洞
k8s 生态
09-19 611
“「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]。”大家好,我是张晋涛。Kubernetes CVE-2022-3172 安全漏洞扩展 Kubernetes 的方法有很多种,目前扩展 API 方面用到最多的是 自定义资源定义(CRD)和聚合 API(Aggregation API)。 自定义资源定义主要是为了让 Kube...
K8S 生态周报| 深入源码剖析 Kubernetes漏洞
k8s 生态
11-21 352
“「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]。”大家好,我是张晋涛。上游进展Kubernetes 发布了 v1.22.16 和 1.23.14,1.24.8,1.25.4等版本,其中最重要的就是以下两个安全漏洞了。CVE-2022-3162当用户被授权允许在集群范围内 list 或 watch 某个 namespac...
高危!!Kubernetes 新型容器逃逸漏洞预警
k8s 生态
03-02 356
2022 年 1 月 18 日,Linux 维护人员和供应商在 Linux 内核(5.1-rc1+)文件系统上下文功能的 legacy_parse_param 函数中发现一个堆缓冲区溢出[...
k8s安全测评漏洞:SSL-TLS协议信息泄露漏洞(CVE-2016-2183)
最新发布
dzqxwzoe的博客
05-30 2071
扫描结果重点关注warnings,64-bit block cipher 3DES vulnerable to SWEET32。k8s组件使用了IDEA、DES和3DES等算法,修改配置文件禁用上述算法即可。增加后kube-apiserver漏洞即修复成功。attack,漏洞修复成功则没有该项提示。可以看到没有了warnings这项了。可以看到没有了warnings这项了。可以看到没有了warnings这项了。可以看到没有了warnings这项了。增加后etcd漏洞即修复成功。只需要修复最后一项即可。
CVE-2020-9296-Netflix-Conductor-RCE-漏洞分析
xj28555的博客
06-22 1594
漏洞通告 https://github.com/Netflix/security-bulletins/blob/master/advisories/nflx-2020-001.md Netflix Conductor是 Netflix 开发的一款工作流编排的引擎,项目地址:https://github.com/Netflix/conductor,本次漏洞成因在于自定义约束冲突时的错误信息支持了 Java EL 表达式,而且这部分错误信息是攻击者可控的,所以攻击者可以通过注入 Java EL 表达式进行.
Kubernetes首爆严重安全漏洞,请升级你的Kubernetes
weixin_37098404的博客
12-04 269
编辑 | 无明,张婵Kubernetes 首爆严重安全漏洞,该漏洞可以无形的方式入侵 KubernetesKubernetes 最近爆出特权升级漏洞,这是 Kuberne...
202312-Redis面试题(2023最新版)思维导图.zip
06-16
2. 数据库: - 熟悉SQL语言 - 了解关系型数据库和非关系型数据库 - 数据库连接池 - 数据库事务 3. Spring框架: - Spring Boot - Spring MVC - Spring Data - Spring Security - Spring Cloud 4. Web...
202309-MySQL数据库面试题(2023最新版)思维导图.zip
06-16
2. 数据库: - 熟悉SQL语言 - 了解关系型数据库和非关系型数据库 - 数据库连接池 - 数据库事务 3. Spring框架: - Spring Boot - Spring MVC - Spring Data - Spring Security - Spring Cloud 4. Web...
202318-Spring Cloud面试题(2023最新版)思维导图.zip
06-16
2. 数据库: - 熟悉SQL语言 - 了解关系型数据库和非关系型数据库 - 数据库连接池 - 数据库事务 3. Spring框架: - Spring Boot - Spring MVC - Spring Data - Spring Security - Spring Cloud 4. Web...
202315-消息中间件MQ面试题(2023最新版)思维导图.zip
06-16
2. 数据库: - 熟悉SQL语言 - 了解关系型数据库和非关系型数据库 - 数据库连接池 - 数据库事务 3. Spring框架: - Spring Boot - Spring MVC - Spring Data - Spring Security - Spring Cloud 4. Web...
202308-Java虚拟机(JVM)面试题(2023最新版)思维导图.zip
06-16
2. 数据库: - 熟悉SQL语言 - 了解关系型数据库和非关系型数据库 - 数据库连接池 - 数据库事务 3. Spring框架: - Spring Boot - Spring MVC - Spring Data - Spring Security - Spring Cloud 4. Web...
KubiScan:一种扫描Kubernetes集群以获取危险权限的工具
02-03
一种在Kubernetes的基于角色的访问控制(RBAC)授权模型中扫描Kubernetes群集以获取危险权限的工具。 该工具已作为“通过消除风险许可保护Kubernetes集群”研究的一部分发布, 。 总览 KubiScan帮助群集管理员确定攻击者可能利用来破坏群集的权限。 这在大型环境中尤其有用,因为在大型环境中,许多权限可能难以跟踪。 KubiScan收集有关危险角色\集群,角色绑定\集群角色绑定,用户和吊舱的信息,自动化传统的手动流程,并为管理员提供降低风险所需的可见性。 它能做什么? 识别危险角色\ ClusterRoles 识别危险的RoleBindings \ ClusterRoleBindings 确定有风险的主题(用户,组和服务帐户) 识别危险的豆荚\容器 从Pod中转储令牌(全部或按名称空间) 获取与角色,ClusterRole或主题(用户,组或服务帐户)关联的RoleBindings \ ClusterRoleBindings 列出特定种类的主题(“用户”,“组”或“ ServiceAccount”) 列出RoleBinding或ClusterR
多个Kubernetes 高危漏洞可用于在 Windows 端点执行远程攻击
smellycat000的专栏
09-14 184
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Kubernetes 中存在三个相互关联的高危漏洞,可用于以提升权限在集群的Windows 端点上实现远程代码执行。这些漏洞是CVE-2023-3676、CVE-2023-3893和CVE-2023-3955,CVSS评分为8.8,影响所有具有Windows 节点的K8s 环境。经 Akamai 公司在2023年7月13日报送后,修复方案已在20...
kubernetes_2020年Kubernetes漏洞及其修复方法
weixin_26722031的博客
07-31 2045
kubernetesVulnerabilities in open source are vital to a lot of organizations and developers are paying close attention to. Any little breach can be very bad, especially when it comes to container orch...
Kubernetes首个重要安全漏洞研究&百度云全量修复报告
百度智能云
12-12 518
上周早期,Kubernetes官方报告了一个评分9.8的漏洞:CVE-2018-1002105,该漏洞将导致用户可以通过伪造请求获得后端服务的提权访问,产生严重的安全隐患。该漏洞由Kub...
Kubernetes首个严重安全漏洞发现者,谈发现过程及原理机制
weixin_33968104的博客
12-07 122
北美时间11月26日,Kubernetes爆出严重安全漏洞,该漏洞由Rancher Labs联合创始人及首席架构师Darren Shepherd发现。该漏洞CVE-2018-1002105(又名Kubernetes特权升级漏洞https://github.com/kubernetes/kubernetes/issues/71411)被确认为严重性9.8分(满分10分),恶意...
提升开源代码安全性:Kubernetes 漏洞赏金计划现已上线
谷歌开发者
02-03 1299
文 / Maya Kaczorowski, 产品经理, Container Security 和 Aaron Small, 产品经理,GKE On-Prem Security开源项目是...
关于Kubernetes CVE-2018-1002105 提权漏洞的修复公告
weixin_34254823的博客
12-05 465
近日Kubernetes社区发现安全漏洞 CVE-2018-1002105。通过伪造请求,Kubernetes用户可以在已建立的API Server连接上提权访问后端服务,阿里云容器服务已第一时间修复,请登录阿里云控制台升级您的Kubernetes版本。 漏洞详细介绍:https://github.com/kubernetes/kubernetes/is...
2022 年 Kubernetes 高危漏洞盘点
u012516914的专栏
12-17 899
2022 年,Kubernetes继续巩固自己作为关键基础设施领域的地位。从小型到大型组织,它已成为广受欢迎的选择。出于显而易见的原因,这种转变使 Kubernetes 更容易受到攻击。但这还没有结束,开发人员通常将Kubernetes 部署与其他云原生组件一起使用来构建一个完善的工作系统。不幸的是,这种组合会导致具有更多组件的更复杂的基础架构。这最终会增加易受攻击的表面积和范围。根据 Red H...
http://jcenter.bintray.com/com/netflix/netflix-commons/netflix-statistics/0.1.1/netflix-statistics-0.1.1.pom
07-28
根据您提供的问题中的URL,您想下载的是"netflix-statistics-0.1.1.pom"文件。根据引用\[1\]和引用\[3\]中的设置,jcenter()是gradle默认的仓库之一。因此,您可以在build.gradle或init.gradle文件中添加jcenter()...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值