Kubernetes: CVE-2020-8552: DoS-защита apiserver (дядя)

Рейтинг CVSS: CVSS: 3.0 / AV : N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: L (средний)

Было обнаружено, что сервер API Kubernetes уязвим для атаки отказа в обслуживании через авторизованные запросы API.

Я уязвим?

Если злоумышленник может сделать авторизованный запрос ресурса на непропатченный сервер API (см. Ниже), то вы уязвимы для этого. До версии 1.14 это было возможно с помощью неавторизованных запросов по умолчанию.

Затронутые версии

• kube-apiserver v1.17.0 - v1.17.2
• kube-apiserver v1.16.0 - v1.16.6
• kube-apiserver <v1.15.10

Как мне уменьшить эту уязвимость?

Перед обновлением эту уязвимость можно уменьшить следующими способами:

• Предотвращение неаутентифицированного или несанкционированного доступа ко всем API
• Apiserver должен автоматически перезапуститься, если он OOM

Фиксированные версии

• v1.17.3
• v1.16.7
• Версия 1.15.10

Для обновления обратитесь к документации: https://kubernetes.io/docs/tasks/administer-cluster/cluster-management/#upgrading -a-cluster

Благодарности

Об этой уязвимости сообщил: Гас Лис (Amazon).

/ охрана территории
/ добрый баг
/ комитет продукт-безопасность
/ sig api-machinery