Kubernetes安全公告：发布v1.11.8、1.12.6、1.13.4以解决中等严重性CVE-2019-1002100

Kubernetes社区你好，

在kube-apiserver中发现了拒绝服务漏洞，其中具有API写入权限的授权用户可以在处理写入请求时导致API服务器消耗过多的资源。问题是中等严重性，可以通过将kube-apiserver升级到v1.11.8、v1.12.6或v1.13.4来解决。

我使用的版本是脆弱吗？

以下版本的kube-apiserver易受攻击：

• v1.0.0-1.10.x
• v1.11.0-1.11.7
• v1.12.0-1.12.5
• v1.13.0-1.13.3

如何在升级之前缓解漏洞？

对不受信任的用户删除“patch”权限。

漏洞详细信息

有权向Kubernetes API服务器发出补丁（patch）请求的用户可以发送特制的“json-patch”补丁（例如kubectl patch --type json或“Content-Type: application/json-patch+json”）处理时消耗过多资源，导致API服务器上的拒绝服务。没有与此漏洞相关的信息泄露或权限升级。

这漏洞提交为CVE-2019-1002100。我们将其评为CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H（6.5，中等）。请参阅GitHub问题#74534了解更多详情。

谢谢

感谢Carl Henrik Lunde报告此问题。请注意，如果您在Kubernetes中发现安全漏洞，请按照安全公开流程进行报告。

感谢Chao Xu和Jordan Liggitt开发修复程序，感谢修补程序发布经理Aleksandra Malinowska、Timothy Pepper、Pengfei Ni和Anirudh Ramanathan协调发布。

-CJ Cullen代表Kubernetes产品安全团队

---

KubeCon + CloudNativeCon和Open Source Summit大会日期：

• 会议日程通告日期：2019 年 4 月 10 日
• 会议活动举办日期：2019 年 6 月 24 至 26 日

KubeCon + CloudNativeCon和Open Source Summit赞助方案
KubeCon + CloudNativeCon和Open Source Summit多元化奖学金现正接受申请
KubeCon + CloudNativeCon和Open Source Summit即将首次合体落地中国
KubeCon + CloudNativeCon和Open Source Summit购票窗口，立即购票！