HTTP/2漏洞可影响Kubernetes 修复补丁已出

Netflix、Google及CERT/CC在近日披露了HTTP/2相关的8个安全漏洞，就连用来打造Kubernetes的Go语言也受到其中两个漏洞的波及，导致Kubernetes所有版本都受到相关漏洞影响，可能造成服务阻断。

HTTP/2为新一代的HTTP传输协议标准，是此协议自1999年发布HTTP 1.1后的首个更新版。不过现在却被发现含有从CVE-2019-9511～CVE-2019-9518的8个安全漏洞，所有的漏洞都可能导致服务阻断（DoS）。而且相关漏洞还影响了部署HTTP/2的企业或服务，包括Go语言在内。

身为K8s贡献者、AWS系统开发工程师的Micah Hausler本周指出，Go语言的net/http程序库存在CVE-2019-9512与CVE-2019-9514两个安全漏洞，可引发任何基于HTTP或HTTPS接收器程序发生服务阻断，波及K8s的所有版本及组件。

目前Go已经释出Go1.12.9与Go1.11.13来修补这两个漏洞，而K8s则是基于Go的修补释出K8s v1.15.3、K8s v1.14.6与K8s v1.13.10，因此建议K8s用户应尽快升级到最新版本。

调查区域：企业小调查(点击预览可查看效果)

(7250192)