Уязвимости обнаружены в библиотеке net/http языка Go и затрагивают все версии и компоненты Kubernetes.
Исследователи из Kubernetes Product Security Committee обнаружил и две опасные уязвимости, затрагивающие все версии Kubernetes, системы с открытым исходным кодом для обработки контейнерных приложений. Их эксплуатация позволяет неавторизированному злоумышленнику вызвать отказ в обслуживании (DoS) системы.
Kubernetes изначально разрабатывалась компанией Google с использованием языка программирования Go и предназначена для автоматизации развертывания, масштабирования и управления контейнерными рабочими нагрузками и сервисами в кластерах хостов.
Уязвимости (CVE-2019-9512 и CVE-2019-9514) были обнаружены в библиотеке net/http языка Go и затрагивают все версии и компоненты Kubernetes. Они получили оценку 7,5 балла по шкале CVSS v3.0. Их эксплуатация позволяет злоумышленнику отправлять постоянные запросы на пир HTTP/2 или неправильные запросы на несколько открытых потоков соответственно. В результате этого поставленные в очередь данные могут потреблять избыточное количество ресурсов ЦП и памяти, тем самым вызывая отказ в обслуживании системы.
Разработчики Kubernetes уже выпустили новую версию, в которой исправили найденные уязвимости.
