Kubernetes Community는 모든 버전과 Kubernetes의 모든 구성 요소에 영향을주는 Go 언어의 net / http 라이브러리에서 보안 문제가 발견되었다고 발표했다. 이로 인해 HTTP 또는 HTTPS 리스너가있는 프로세스에 대한 DoS 공격이 발생할 수 있다.
CVE-2019-9512 및 CVE-2019-9514의 두 가지 심각도 취약점은 Kubernetes 제품 보안위원회에서 CVSS v3.0 기본 점수 7.5를 지정했다. 이러한 취약점으로 인해 신뢰할 수 없는 클라이언트는 서버가 충돌 할 때까지 무제한의 메모리를 할당 할 수 있다. Kubernetes의 개발팀은 잠재적인 공격자가 이를 악용하지 못하도록 이러한 보안 결함을 해결하기 위해 패치 버전을 출시했다.
CVE-2019-9512 에서, 공격자는 응답의 내부 큐를 구축 할 수 있는 피어의 원인은 HTTP / 2 피어에 계속 ping을 전송한다. 이 데이터가 얼마나 효율적으로 대기하는지에 따라 CPU, 메모리 또는 둘다를 과도하게 소비하여 서비스 거부가 발생할 수 있다.
CVE-2019-9514 에서는, 공격자는 스트림번호가 열리고 피어로부터 RST_STREAM 프레임의 스트림을 요청해야 각 스트림을 통해 무효 요청을 보낸다. 피어가 RST_STREAM 프레임을 큐에 넣는 방법에 따라 과도한 메모리, CPU 또는 둘 다를 소비하여 서비스 거부가 발생할 수 있다.
Go 팀은 go1.12.8 및 go1.11.13 버전을 발표 했으며 Kubernetes 개발자 팀은 새로운 버전의 Go를 사용하여 빌드 된 Kubernetes 패치 버전을 발표했다.
Kubernetes v1.15.3 – go1.12.9
쿠 버네 티스 v1.14.6 – go1.12.9
Kubernetes v1.13.10 – go1.11.13
Netflix(넷플릭스)도 8월 13일에 HTTP / 2 프로토콜의 서버 구현에 영향을 줄 수있는 여러 가지 취약점을 발견했다고 발표했다. 인기있는 비디오 스트리밍 웹사이트는 보안 권고에 8 개의 CVE를 발행 했으며 이중 2개는 Go 및 HTTP / 2 트래픽 (/ healthz 포함)을 제공하도록 설계된 모든 Kubernetes 구성 요소에도 영향을준다.
Azure Kubernetes Service 커뮤니티는 고객에게 곧 패치 릴리스로 업그레이드하도록 권장했다. 팀은“위 버전 (1.10, 1.11, 1.12)보다 낮은 마이너 버전을 실행하는 고객도 영향을 받으며 위의 릴리스 중 하나로 업그레이드하여 이러한 CVE를 완화해야 한다”고 말했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
