Разработчики opensource-системы Kubernetes защитили свое решение от DoS-атак через HTTP/2. Пропатченные уязвимости CVE-2019-9512 и CVE-2019-9514 получили по 7,5 баллов по шкале CVSS, что соответствует серьезному уровню угрозы.

Ранее специалисты Netflix и Google рассказали о восьми уязвимостях HTTP/2, которые можно использовать, чтобы вызвать у веб-серверов состояние отказа в обслуживании. Угроза коснулась продуктов Apple, Microsoft и Google, а также множества систем с открытым кодом.

Дыры, закрытые в Kubernetes, унаследованы из net/http-библиотеки в языке Go, на котором построен продукт, — CVE-2019-9512 приводит к образованию внутренней очереди из ping-запросов, CVE-2019-9514 заваливает цель потоками некорректных данных.

Стоит отметить, что первая техника вошла в DoS-инструментарий сравнительно недавно — эксперты обнаружили первые подобные атаки в апреле 2019 года.

Разработчики переписали ПО на основе исправленных версий Go и призывают администраторов перейти на безопасные сборки:

  • Kubernetesv15.3 — создан на Go1.12.9
  • Kubernetes14.6 — на основе Go1.12.9
  • Kubernetes13.10 — Go1.11.13

Без этих патчей под угрозой DoS-атак оказывается любой процесс с открытым HTTP- или HTTPS-портом.

Категории: DoS-атаки, Кибероборона