พบช่องโหว่กระทบ Kubernetes ทุกเวอร์ชัน แนะควรอัปเดต

พบช่องโหว่ 2 รายการที่ส่งผลกระทบกับ Kubernetes ทุกเวอร์ชัน ที่สามารถนำไปสู่การเกิด Denial-of-service จึงแนะนำให้ผู้ทำการอัปเดต

Micah Hausler , ผู้กำกับดูแลความมั่นคงปลอดภัยของผลิตภัณฑ์ Kubernetes ได้ออกประกาศถึงปัญหาว่า “พบช่องโหว่ปัญหาด้านความมั่นคงปลอดภัยในไลบรารี่ net/http ของภาษา Go ซึ่งกระทบกับทุกเวอร์ชันและทุกส่วนประกอบของ Kubernetes ซึ่งอาจนำไปสู่การเกิด DoS ต่อโปรเซสใดๆ ของ HTTP หรือ HTTPS Listener” 

โดยประเด็นคือเมื่อวันก่อน Netflix ได้ประกาศค้นพบช่องโหว่หลายรายการกับเซิร์ฟเวอร์ที่รองรับ HTTP/2 ซึ่งมี 2 รายการที่ส่งผลกระทบต่อ Go และ Kubenetes ที่รองรับทราฟฟิค HTTP/2 ด้วยนั่นเองคือ CVE-2019-9512(Ping Flood) และ CVE-2019-9514(Reset flood) ซึ่งทางทีมงานได้ออกแพตช์ให้ Kubenestes ใหม่ด้วยการใช้ Go เวอร์ชันที่ถูกแก้ปัญหาแล้วคือ Kubernestes เวอร์ชัน 1.15.3(ใช้ Go 1.12.9), 1.14.6 (ใช้ Go 1.12.9) และ 1.13.10 (ใช้ Go 1.11.13)

ที่มา :  https://www.bleepingcomputer.com/news/security/severe-flaws-in-kubernetes-expose-all-servers-to-dos-attacks/