В Kubernetes закрыли обнаруженные ранее уязвимости HTTP/2
Разработчики системы для управления контейнерами ПО выпустили патчи для защиты веб-серверов от DoS-атак.
Разработчики opensource-системы Kubernetes защитили свое решение от DoS-атак через HTTP/2. Пропатченные уязвимости CVE-2019-9512 и CVE-2019-9514 получили по 7,5 баллов по шкале CVSS, что соответствует серьезному уровню угрозы.
Ранее специалисты Netflix и Google рассказали о восьми уязвимостях HTTP/2, которые можно использовать, чтобы вызвать у веб-серверов состояние отказа в обслуживании. Угроза коснулась продуктов Apple, Microsoft и Google, а также множества систем с открытым кодом.
Дыры, закрытые в Kubernetes, унаследованы из net/http-библиотеки в языке Go, на котором построен продукт, — CVE-2019-9512 приводит к образованию внутренней очереди из ping-запросов, CVE-2019-9514 заваливает цель потоками некорректных данных.
Стоит отметить, что первая техника вошла в DoS-инструментарий сравнительно недавно — эксперты обнаружили первые подобные атаки в апреле 2019 года.
Разработчики переписали ПО на основе исправленных версий Go и призывают администраторов перейти на безопасные сборки:
- Kubernetesv15.3 — создан на Go1.12.9
- Kubernetes14.6 — на основе Go1.12.9
- Kubernetes13.10 — Go1.11.13
Без этих патчей под угрозой DoS-атак оказывается любой процесс с открытым HTTP- или HTTPS-портом.
 |
нравится | не нравится |  |
| Рейтинг: | 0 |
Всего голосов: 0 |
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.