被HTTP/2漏洞拖累，所有Kubernetes版本受影响

https://www.kubernetes.org.cn/5746.html

服务很重要啊。。。  低版本都不解决安全问题了。。

不过HTTP/ 协议 其实 我们公司这样 用的估计也不多。

2019-08-22 09:24 中文社区分类：Kubernetes资讯/行业动态阅读(649) 评论(0)

Netflix、Google及CERT/CC 近日揭露了有关HTTP/2的8个安全漏洞，本周Kubernetes项目发现受到其中两个漏洞的影响，也让Kubernetes遭蒙池鱼之殃，导致所有版本都受到相关漏洞的影响，可能造成服务中断。

HTTP/2为新一代的HTTP传输协议标准，该协议自1999年发布HTTP 1.1之后的首个更新，但近日却被发现含有从CVE-2019-9511～CVE-2019-9518的8个安全漏洞，所有的漏洞都可能导致服务中断（DoS），相关漏洞影响了部署HTTP/2的业者或服务，包括Go语言在内。

K8s贡献者、AWS系统开发工程师Micah Hausler本周指出，Go语言的net/http库存在着CVE-2019-9512与CVE-2019-9514两个安全漏洞，造成任何基于HTTP或HTTPS接听器的程序发生服务中断，而且波及K8s的所有版本及组件。

Go已经发布Go1.12.9与Go1.11.13来修补这两个漏洞，而K8s则是基于Go的修补发布K8s v1.15.3、K8s v1.14.6与K8s v1.13.10，Hausler建议K8s用户应尽快升级到最新版本。

作者：陈晓莉参考：https://www.ithome.com.tw/news/132540https://groups.google.com/forum/#!topic/kubernetes-security-announce/wlHLHit1BqA

巴特西