Kubernetes 安全警告

Kubernetes 近期爆出两个中级安全漏洞：

CVE-2020-8551

CVE-2020-8552

以下为Kubernetes 安全漏洞的说明。

Kubernetes上述漏洞在CVSS评级为中等级别，安全风险为DoS攻击。

“未来五年，是kubernetes的黄金五年。”

在这个黄金五年，CNCF组织依托kubernetes等开源项目推进现代云原生的发展，构建现代软件开发技术栈。

CVE-2020-8551

• 说明

攻击方可通过kubelet API发起拒绝服务攻击，包括在端口10255上提供的未经身份验证的HTTP只读API服务，以及在端口10250上提供的经过身份验证的HTTPS API服务。

• 影响范围 kube-apiserver v1.17.0 - v1.17.2 kube-apiserver v1.16.0 - v1.16.6 kube-apiserver < v1.15.10
• 修复方案 当前可升级至以下版本： v1.17.3 v1.16.7 v1.15.10

CVE-2020-8552

• 说明

攻击者方通过授权的API请求对Kubernetes API Server服务进行拒绝服务攻击。

• 影响范围 kubelet v1.17.0 - v1.17.2 kubelet v1.16.0 - v1.16.6 kubelet v1.15.0 - v1.15.9
• 修复方案 当前可升级至以下版本： v1.17.3 v1.16.7 v1.15.10

相关材料：

[1] https://seclists.org/oss-sec/2020/q1/121

[2] https://github.com/kubernetes/kubernetes/issues/89377

[3] https://github.com/kubernetes/kubernetes/issues/89378