Kubernetes安全公告:发布v1.11.8、1.12.6、1.13.4以解决中等严重性CVE-2019-1002100

最新推荐文章于 2022-04-09 17:15:15 发布
最新推荐文章于 2022-04-09 17:15:15 发布
阅读量498 收藏
点赞数
分类专栏: kubernetes 文章标签: kubernetes

Kubernetes安全公告:发布v1.11.8、1.12.6、1.13.4以解决中等严重性CVE-2019-1002100

Kubernetes社区你好,

在kube-apiserver中发现了拒绝服务漏洞,其中具有API写入权限的授权用户可以在处理写入请求时导致API服务器消耗过多的资源。问题是中等严重性,可以通过将kube-apiserver升级到v1.11.8、v1.12.6或v1.13.4来解决。

我使用的版本是脆弱吗?

以下版本的kube-apiserver易受攻击:

  • v1.0.0-1.10.x
  • v1.11.0-1.11.7
  • v1.12.0-1.12.5
  • v1.13.0-1.13.3

如何在升级之前缓解漏洞?

对不受信任的用户删除“patch”权限。

漏洞详细信息

有权向Kubernetes API服务器发出补丁(patch)请求的用户可以发送特制的“json-patch”补丁(例如kubectl patch --type json或“Content-Type: application/json-patch+json”)处理时消耗过多资源,导致API服务器上的拒绝服务。没有与此漏洞相关的信息泄露或权限升级。

这漏洞提交为CVE-2019-1002100。我们将其评为CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H(6.5,中等)。请参阅GitHub问题#74534了解更多详情。

谢谢

感谢Carl Henrik Lunde报告此问题。请注意,如果您在Kubernetes中发现安全漏洞,请按照安全公开流程进行报告。

感谢Chao Xu和Jordan Liggitt开发修复程序,感谢修补程序发布经理Aleksandra Malinowska、Timothy Pepper、Pengfei Ni和Anirudh Ramanathan协调发布。

-CJ Cullen代表Kubernetes产品安全团队

KubeCon + CloudNativeCon和Open Source Summit大会日期:

  • 会议日程通告日期:2019 年 4 月 10 日
  • 会议活动举办日期:2019 年 6 月 24 至 26 日

KubeCon + CloudNativeCon和Open Source Summit赞助方案
KubeCon + CloudNativeCon和Open Source Summit多元化奖学金现正接受申请
KubeCon + CloudNativeCon和Open Source Summit即将首次合体落地中国
KubeCon + CloudNativeCon和Open Source Summit购票窗口,立即购票!

Donald Liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【独家】K8S漏洞报告 | CVE-2019-1002101解读
weixin_44524077的博客
04-17 899
kubectl cp漏洞CVE-2019-1002101分析 Kube-proxy IPVS添加flag ipvs-strict-arp 近期bug fix数据分析 ——本期更新内容 kubectl cp漏洞 近期kubernetes的kubectl cp命令发现安全问题(CVE-2019-1002101),该问题严重程度比较高,建议将kubectl升级到Kubernetes 1.11.9,1.1...
nginx for Windows v1.11.8 开发版
12-03
Nginx (engine x) 是一个高性能的 HTTP 和 反向代理 ... Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,它已经在该站点运行超过两年半了。Igor 将源代码以类BSD许可证的形式发布。尽管还是
安全狗高危安全通告】Kubernetes CRI-O引擎任意代码执行漏洞
bocco的博客
03-21 411
近日,安全狗应急响应中心监测到网上公开披露了CRI-O中称为“cr8escape”的任意代码执行漏洞(CVE-2022-0811)。
kubernetes1.13.4部署traefik
fy_long的博客
04-12 278
基础环境 拥有一个完美运行的kubernetes1.13.4集群并已经部署过dashboard,可参考我的部署文章创建自己的集群。 部署步骤 编写部署需要的yaml文件 traefik-rbac.yaml --- kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: name: traefik...
kubernetes常见安全问题_Kubernetes 安全问题 (CVE-2019-11249)
weixin_39910824的博客
12-21 221
上次更新时间:2019 年 8 月 15 日上午 9:00(太平洋夏令时)CVE 标识符:CVE-2019-11249AWS 已经意识到一个安全问题 (CVE-2019-11249),该问题会解析 CVE-2019-1002101 和 CVE-2019-11246 不完全修复。与前面提到的 CVE 一样,该问题的根源在于 Kubernetes kubectl 工具,该问题可能会允许恶意容器更换用户...
kubeadm 安装 kubernetes 1.13.2版本
shadow2017的博客
01-16 3164
kubernetes 1.13.2 已经出来了,更新迭代比较快,安装部署一直都是对新手来说都比较麻烦, 重装了一次,整理一下文档,大家只要安装下面一步步安装,一定能成功,有些地方如果报错请具体排查,我这里安装过程如下,希望对大家有帮助,喜欢就点赞留言,大家一起交流学习; 这里是使用docker镜像安装: 安装kubernetes 环境准备,三台机器 系统环境:CentOS 7.6 19...
Semantic-UI-1.11.8.zip_Foundation框架_Semantic-UI_foundation_seman
09-20
虽然与Bootstrap和Foundation等框架在某些方面有共通之处,但 Semantic UI 的语义化特性和易用性使其在前端开发领域独树一帜。在实际项目中,开发者可以根据具体需求选择最适合的框架,以实现最佳的用户体验和开发...
Python库 | PythonTwitchBotFramework-1.11.8-py3-none-any.whl
02-19
PythonTwitchBotFramework-1.11.8-py3-none-any.whl 是一个Python库,主要用于构建Twitch聊天室的机器人应用。这个库提供了一个框架,使得开发者能够轻松地与Twitch API交互,实现自动化功能,如响应用户消息、管理...
PyPI 官网下载 | PythonTwitchBotFramework-1.11.8-py3-none-any.whl
01-07
资源来自pypi官网。 资源全名:PythonTwitchBotFramework-1.11.8-py3-none-any.whl
树莓派安装nginx-1.11.8
02-27
在本文中,我们将深入探讨如何在树莓派Zero W上安装和配置Nginx 1.11.8,以及如何结合RTMP模块构建一个视频流服务器,支持h264编码的视频实时传输。首先,让我们了解一下树莓派、Nginx、RTMP和h264的基本概念。 ...
CVE-2019-1181&1182;修复工具.rar
08-23
CVE-2019-1181&1182;修复工具 腾讯出 的 RDS 修复工具
CVE-2019-8451(Jira未授权SSRF漏洞)
qq_41048303的博客
04-09 4690
CVE-2019-8451(Jira未授权SSRF漏洞) 1.漏洞概述 jira的/plugins/servlet/gadgets/makeRequest资源存在ssrf漏洞。 2.环境搭建 使用docker 进行搭建 docker pull cptactionhank/atlassian-jira:7.8.0 docker run --detach --publish 8080:8080 cptactionhank/atlassian-jira:7.8.0 访问ip:8080进行安装jira,安装过程需
Jira未授权SSRF漏洞(CVE-2019-8451)
Li-D的博客
12-31 1471
漏洞描述 Jira的/plugins/servlet/gadgets/makeRequest资源存在SSRF漏洞,原因在于JiraWhitelist这个类的逻辑缺陷,成功利用此漏洞的远程攻击者可以以Jira服务端的身份访问内网资源。经分析,此漏洞无需任何凭据即可触发。 漏洞危害 远程攻击者可以利用此漏洞以Jira服务端的身份访问内网资源。 漏洞影响版本 Jira < 8.4.0 漏洞分析 两个关键信息点: • 漏洞点在/plugins/servlet/gadgets/makeRequest • 原因在
log4j CVE-2019-17571 漏洞复现
热门推荐
01-02 1万+
一、漏洞描述 Log4j1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码。 二、漏洞复现 2.1 启动SocketServer端 import org.apache.log4j.Logger; import org.apache.log...
Jira未授权SSRF漏洞复现(CVE-2019-8451)
渗透测试研究中心
09-29 256
0x00 漏洞背景 Jira的/plugins/servlet/gadgets/makeRequest资源存在SSRF漏洞,原因在于JiraWhitelist这个类的逻辑缺陷,成功利用此漏洞的远程攻击者可以以Jira服务端的身份访问内网资源。经分析,此漏洞无需任何凭据即可触发。 0x01 影响范围 < 8.4.0 此漏洞是在Jira服务器7.6.0版中引入的,并在7.13.9和8.4...
CVE-2019-8451: Jira SSRF
公众号shadow sock7
09-29 1992
开始一直没找到这个接口是在哪里调用的,后来偶然看了一下burp才知道,他的referer是: http://cqq.com:8091/plugins/servlet/gadgets/ifr?container=atlassian&mid=10003&country=US&lang=en&view=default&view-params=%7B%22writa...
CVE-2019-1182 windows 远程桌面RDP协议漏洞修复补丁下载地址
网站安全专家
08-15 2476
2019年8月14日,微软发布更新了windows的系统补丁,代号:CVE-2019-1181,CVE-2019-1182补丁针对与windows远程桌面远程代码执行漏洞进行了全面的修复,根据SINE安全技术对补丁的分析发现修复的这两个漏洞,可以造成攻击者通过远程链接的方式绕过管理员的身份安全验证,对服务器以及电脑进行攻击,提权并上传webshell,跟之前发生的勒索病毒,永恒之蓝是一个级别,危害...
使用kubeadm安装kubernetes 1.13高可用集群(使用calico网络)
ck680617的博客
02-13 842
kubeadm安装kubernetes 1.13高可用集群 初始化集群: 配置hosts文件 vim /etc/hosts 192.168....
Kubeadm 安装 Kubernetes1.12 全流程
weixin_40864891的博客
12-28 1362
Kubeadm Kubernetes1.12 flannel heapster
Could not find a version that satisfies the requirement Django==2.2.10 (from -r requirements.txt (line 11)) (from versions: 1.1.3, 1.1.4, 1.2, 1.2.1, 1.2.2, 1.2.3, 1.2.4, 1.2.5, 1.2.6, 1.2.7, 1.3, 1.3.1, 1.3.2, 1.3.3, 1.3.4, 1.3.5, 1.3.6, 1.3.7, 1.4, 1.4.1, 1.4.2, 1.4.3, 1.4.4, 1.4.5, 1.4.6, 1.4.7, 1.4.8, 1.4.9, 1.4.10, 1.4.11, 1.4.12, 1.4.13, 1.4.14, 1.4.15, 1.4.16, 1.4.17, 1.4.18, 1.4.19, 1.4.20, 1.4.21, 1.4.22, 1.5, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.5.5, 1.5.6, 1.5.7, 1.5.8, 1.5.9, 1.5.10, 1.5.11, 1.5.12, 1.6, 1.6.1, 1.6.2, 1.6.3, 1.6.4, 1.6.5, 1.6.6, 1.6.7, 1.6.8, 1.6.9, 1.6.10, 1.6.11, 1.7, 1.7.1, 1.7.2, 1.7.3, 1.7.4, 1.7.5, 1.7.6, 1.7.7, 1.7.8, 1.7.9, 1.7.10, 1.7.11, 1.8a1, 1.8b1, 1.8b2, 1.8rc1, 1.8, 1.8.1, 1.8.2, 1.8.3, 1.8.4, 1.8.5, 1.8.6, 1.8.7, 1.8.8, 1.8.9, 1.8.10, 1.8.11, 1.8.12, 1.8.13, 1.8.14, 1.8.15, 1.8.16, 1.8.17, 1.8.18, 1.8.19, 1.9a1, 1.9b1, 1.9rc1, 1.9rc2, 1.9, 1.9.1, 1.9.2, 1.9.3, 1.9.4, 1.9.5, 1.9.6, 1.9.7, 1.9.8, 1.9.9, 1.9.10, 1.9.11, 1.9.12, 1.9.13, 1.10a1, 1.10b1, 1.10rc1, 1.10, 1.10.1, 1.10.2, 1.10.3, 1.10.4, 1.10.5, 1.10.6, 1.10.7, 1.10.8, 1.11a1, 1.11b1, 1.11rc1, 1.11, 1.11.1, 1.11.2, 1.11.3, 1.11.4, 1.11.5, 1.11.6, 1.11.7, 1.11.8, 1.11.9, 1.11.10, 1.11.11, 1.11.12, 1.11.13, 1.11.14, 1.11.15, 1.11.16, 1.11.17, 1.11.18, 1.11.20, 1.11.21, 1.11.22, 1.11.23, 1.11.24, 1.11.25, 1.11.26, 1.11.27, 1.11.28, 1.11.29) No matching distribution found for Django==2.2.10 (from -r requirements.txt (line 11))
最新发布
07-10
您可以尝试以下解决方法: 1. 检查源:确保您使用的源中包含了所需的Django版本。您可以尝试更换源或添加其他可靠的源来获取所需的版本。 2. 更新源:运行`pip install --upgrade pip`命令来更新pip工具到最新版本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值