В Kubernetes обнаружены уязвимости
Kubernetes – библиотека, разработанная Google, на базе языка Go. Основным предназначением программы является автоматизация развертывания, масштабирования и управления контейнерными рабочими нагрузками и сервисами в кластерах и сложных потоковых вычислениях. Конфигурации Kubernetes наиболее популярны среди компаний — разработчиков программного обеспечения на базе deep learning (нейронные сети).
Уязвимости обнаружил Jonathan Looney из Netflix.
Уязвимости (CVE-2019-9512 и CVE-2019-9514) были обнаружены в библиотеке net/http языка Go и затрагивают все версии и компоненты Kubernetes. Они получили оценку 7,5 балла по шкале CVSS v3.0.
Эти уязвимости позволяют неавторизованным клиентам отправлять множественные запросы на пир HTTP/2 и выделять неограниченный объем памяти, пока сервер не выйдет из строя.
Существует три широкие области информационной безопасности:
- Конфиденциальность (информация не может быть прочитана неавторизованными лицами);
- Целостность (информация не может быть изменена неавторизованными лицами);
- Доступность (информация и системы доступны, когда вы хотите их).
Все изменения, объявленные сегодня, находятся в категории” доступность». Все обнаруженные уязвимости HTTP/2 не позволяют злоумышленнику получения конфиденциальных данных или же изменения информации.По состоянию на сегодняшний день уже ряд поставщиков анонсировали патчи для исправления этих брешей.