Google Kubernetes 资源管理错误漏洞

CNNVD-ID编号	CNNVD-201903-042
CVE编号	CVE-2019-1002100
发布时间	2019-03-04
更新时间	2020-08-25
漏洞类型	资源管理错误
漏洞来源	N/A
危险等级	中危
威胁类型	远程
厂商	N/A

漏洞介绍

Google Kubernetes是美国谷歌（Google）公司的一套开源的Docker容器集群管理系统。该系统为容器化的应用提供资源调度、部署运行、服务发现和扩容缩容等功能。

Google Kubernetes中存在安全漏洞。攻击者可借助‘json-patch’类型的补丁利用该漏洞消耗过量的资源，导致拒绝服务。

漏洞补丁

目前厂商已发布升级了Google Kubernetes 资源管理错误漏洞的补丁，Google Kubernetes 资源管理错误漏洞的补丁获取链接：

https://discuss.kubernetes.io/t/kubernetes-security-announcement-v1-11-8-1-12-6-1-13-4-released-to-address-medium-severity-cve-2019-1002100/5147

参考网址

来源:Kubernetes CVE-2019-1002100 Remote Denial of Service VulnerabilityReferences: CVE-2019-1002100: json-patch requests can exhaust apiserver resources #74534 (kubernetes)kubernetes Github Repository (Github)kubernetes Home Page (Kubernetes) Bug 1683190 (CVE-2019-1002100) - CVE-2019-1002100 kube-apiserver: DoS with craf (Redhat)CVE-2019-1002100 (Redhat)

链接：链接:无
来源:CONFIRM

链接：https://groups.google.com/forum/#!topic/kubernetes-announce/vmUUNkYfG9g
来源:github.com

链接：https://github.com/kubernetes/kubernetes/issues/74534
来源:CONFIRM

链接：https://security.netapp.com/advisory/ntap-20190416-0002/
来源:REDHAT

链接：https://access.redhat.com/errata/RHSA-2019:1851
来源:BID

链接：https://www.securityfocus.com/bid/107290
来源:REDHAT

链接：https://access.redhat.com/errata/RHSA-2019:3239
来源:www.ibm.com

链接：http://www.ibm.com/support/docview.wss
来源:www.ibm.com

链接：http://www.ibm.com/support/docview.wss?uid=ibm10873324
来源:vigilance.fr

链接：https://vigilance.fr/vulnerability/Kubernetes-infinite-loop-via-API-Server-json-patch-28640
来源:nvd.nist.gov

链接：https://nvd.nist.gov/vuln/detail/CVE-2019-1002100
来源:www-01.ibm.com

链接：https://www-01.ibm.com/support/docview.wss?uid=ibm10879473
来源:cve.mitre.org

链接：http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1002100
来源:www.auscert.org.au

链接：https://www.auscert.org.au/bulletins/78558
来源:www.auscert.org.au

链接：https://www.auscert.org.au/bulletins/76718

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201903-042