修复 Kubernetes 漏洞 CVE-2019-11253的公告
阿里云容器服务 Kubernetes 已修复漏洞CVE-2019-11253,本文介绍该漏洞的影响及解决方法。
背景信息
Kubernetes 社区发现安全漏洞:CVE-2019-11253。Kubernetes 用户可通过伪造指定格式 YAML 文件,发送 POST 请求对集群进行 DoS 攻击,目前阿里云容器服务 Kubernetes 已第一时间修复此漏洞,请登录容器服务管理控制台升级您的
Kubernetes 版本。
漏洞 CVE-2019-11253 详细信息,请参见 https://github.com/kubernetes/kubernetes/issues/83253。
影响版本
- Kubernetes v1.0.x-1.12.x
- Kubernetes v1.13.0-1.13.11 (fixed in 1.13.12)
- Kubernetes v1.14.0-1.14.7 (fixed in 1.14.8 )
- Kubernetes v1.15.0-1.15.4 (fixed in 1.15.5)
- Kubernetes v1.16.0-1.16.1 (fixed in 1.16.2)
解决方法
请登录容器服务管理控制台,升级您的集群至 1.14.8 版本,升级的注意事项及具体的操作步骤,请参考升级集群。
如果由于其他原因暂时不能升级集群,您可以通过以下操作降低此漏洞带了的风险,等待合适的时机后再升级集群。
- 您可以遵循权限最小化原则,合理配置子账号对目标集群的访问权限,取消不必要的对集群资源的创建和修改权限,请参见Kubernetes 集群访问控制授权概述。
- 您可以通过吊销 KubeConfig 功能,请主账号对疑似泄露的 Config 及时进行吊销操作,请参见吊销集群的 KubeConfig 凭证。
发布者:佚, 佚名,转转请注明出处:https://www.cms2.cn/aliyun/csk/5854.html