Netflix、Google及CERT/CC在日前揭露了攸關HTTP/2實現的8個安全漏洞,本周容器管理專案Kubernetes指出,用來打造Kubernetes的Go語言,受到其中兩個漏洞的波及,也讓Kubernetes遭蒙池魚之殃,導致所有版本都受到相關漏洞的影響,可能造成服務阻斷。

HTTP/2為新一代的HTTP傳輸協定標準,它是該協定自1999年發布HTTP 1.1之後的首個更新,但近日卻被發現含有從CVE-2019-9511~CVE-2019-9518的8個安全漏洞,所有的漏洞都可能導致服務阻斷(DoS),相關漏洞影響了部署HTTP/2的業者或服務,包括Go語言在內。

K8s貢獻者、亦為AWS系統開發工程師的Micah Hausler本周指出,Go語言的net/http函式庫存在著CVE-2019-9512與CVE-2019-9514兩個安全漏洞,造成任何基於HTTP或HTTPS接聽器的程序發生服務阻斷,而且波及K8s的所有版本及元件。

Go已經釋出Go1.12.9與Go1.11.13來修補這兩個漏洞,而K8s則是基於Go的修補釋出K8s v1.15.3、K8s v1.14.6與K8s v1.13.10,Hausler建議K8s 用戶應儘快升級到最新版本。


Advertisement

更多 iThome相關內容