Netflix、Google及CERT/CC在近日披露了HTTP/2相关的8个安全漏洞,就连用来打造Kubernetes的Go语言也受到其中两个漏洞的波及,导致Kubernetes所有版本都受到相关漏洞影响,可能造成服务阻断。
HTTP/2为新一代的HTTP传输协议标准,是此协议自1999年发布HTTP 1.1后的首个更新版。不过现在却被发现含有从CVE-2019-9511~CVE-2019-9518的8个安全漏洞,所有的漏洞都可能导致服务阻断(DoS)。而且相关漏洞还影响了部署HTTP/2的企业或服务,包括Go语言在内。
身为K8s贡献者、AWS系统开发工程师的Micah Hausler本周指出,Go语言的net/http程序库存在CVE-2019-9512与CVE-2019-9514两个安全漏洞,可引发任何基于HTTP或HTTPS接收器程序发生服务阻断,波及K8s的所有版本及组件。
目前Go已经释出Go1.12.9与Go1.11.13来修补这两个漏洞,而K8s则是基于Go的修补释出K8s v1.15.3、K8s v1.14.6与K8s v1.13.10,因此建议K8s用户应尽快升级到最新版本。
- 调查区域:企业小调查(点击预览可查看效果)
本文属于原创文章,如若转载,请注明来源:HTTP/2漏洞可影响Kubernetes 修复补丁已出//safe.zol.com.cn/725/7250192.html
