Severe Flaws in Kubernetes Expose All Servers to DoS Attacks
오픈 소스 시스템인 Kubernetes의 모든 버전에 영향을 미치는 심각도 높은 취약점이 발견되었습니다.
이 취약점은 승인받지 않은 공격자가 DoS 공격을 실행할 수 있도록 허용합니다.
Kubernetes 개발 팀은 해당 취약점을 수정하기 위한 패치를 이미 발행했습니다.
Kubernetes는 호스트 클러스터에서 컨테이너화된 워크로드 및 서비스의 배포, 스케일링, 관리를 자동화하는 이식성이 있고, 확장 가능한 오픈소스 플랫폼입니다.
Kubernetes는 클러스터 내부의 pod 및 애플리케이션을 실행하는 컨테이너를 관리할 수 있는 로드 밸런싱, 오케스트레이션, 롤아웃 및 롤백 등 다양한 서비스를 제공합니다.
모든 Kubernetes 버전에 영향을 미치는 보안 결함
Kubernetes 측은 Go 언어의 net/http 라이브러리에서 Kubernetes의 모든 컴포넌트 및 버전에 영향을 미치는 보안 이슈가 발견되었다고 밝혔습니다.
이 취약점은 HTTP 또는 HTTPS 리스너를 포함하는 모든 프로세스에 대한 DoS 공격으로 이어질 수 있습니다.
Netflix는 지난 8월 13일 HTTP/2 프로토콜 통신을 지원하는 서버를 DoS 공격 위험에 노출시키는 다수의 취약점을 발표했습니다.
이 취약점은 Go 및 /healthz를 포함한 HTTP/2 프로토콜 통신을 제공하는 모든 Kubernetes 컴포넌트에 영향을 미칩니다.
CVE-2019-9512와 CVE-2019-9514로 등록된 취약점은 CVSS v3.0 기본 점수 7.5를 받았으며, 신뢰할 수 없는 클라이언트가 서버가 중단될 때까지 메모리를 무제한 할당할 수 있습니다.
1. CVE-2019-9512 Ping Flood: 공격자가 HTTP/2 peer로 지속적인 핑을 보내 peer가 내부 응답 큐를 빌드하도록 합니다. 데이터가 얼마나 효율적으로 큐잉 되느냐에 따라 과도한 CPU, 메모리가 소모되어 DoS 상태를 발생시킬 수 있습니다.
2. CVE-2019-9514 Reset Flood: 공격자가 스트림 다수를 오픈하여 각 스트림에 유효하지 않은 요청을 보내 peer로부터 RST_STREAM 프레임의 스트림을 요청합니다. Peer가 RST_STREAM 프레임을 큐잉하는 방식에
따라 과도한 메모리, CPU를 소모해 DoS로 이어질 수 있습니다.
Kubernetes 클러스터 업그레이드
Kubernetes는 이미 해당 취약점들을 패치했습니다. 따라서 모든 관리자분들께서는 패치된 버전으로 가능한 한 빨리 업그레이드하시기 바랍니다.
아래의 Kubernetes 버전은 패치된 버전의 Go를 사용하여 취약점을 완화시킬 수 있도록 했습니다.
• Kubernetes v1.15.3 - go1.12.9
• Kubernetes v1.14.6 - go1.12.9
• Kubernetes v1.13.10 - go1.11.13
Kubernetes 관리자들은 Kubernetes Cluster Management page에서 제공하는 업그레이드 지침에 따라 클러스터를 업그레이드 하시기 바랍니다.
출처:
구글, 모질라, 애플, 스파이 예방 위해 카자흐스탄의 루트 CA 인증서 차단해 (0) | 2019.08.23 |
---|---|
러시아 해킹 그룹, 개선된 전략으로 전 세계 은행 노려 (0) | 2019.08.22 |
유닉스 서버 관리 유틸리티 Webmin에서 백도어 발견 (0) | 2019.08.20 |
모질라, 파이어폭스의 "마스터 패스워드" 보안 우회 취약점 패치해 (0) | 2019.08.19 |
새로운 서비스형 안드로이드 뱅킹 악성코드 Cerberus 등장 (0) | 2019.08.14 |
댓글 영역