Kubernetes漏洞CVE-2019-11253

背景信息

Kubernetes社区发现安全漏洞：CVE-2019-11253。Kubernetes用户可通过伪造指定格式YAML文件，发送POST请求对集群进行DoS攻击。目前阿里云容器服务Kubernetes版本已第一时间修复此漏洞，请登录容器服务管理控制台升级您的Kubernetes版本。

漏洞CVE-2019-11253详细信息，请参见CVE-2019-11253。

影响版本

• Kubernetes v1.0.x~1.12.x
• Kubernetes v1.13.0~1.13.11 （fixed in 1.13.12）
• Kubernetes v1.14.0~1.14.7 （fixed in 1.14.8 ）
• Kubernetes v1.15.0~1.15.4 （fixed in 1.15.5）
• Kubernetes v1.16.0~1.16.1 （fixed in 1.16.2）

解决方法

请登录容器服务管理控制台升级您的集群至1.14.8版本，升级的注意事项及具体的操作步骤，请参见升级集群。

如果由于其他原因暂时不能升级集群，您可以通过以下操作降低此漏洞带来的风险，等待合适的时机后再升级集群。

• 您可以遵循权限最小化原则，合理配置子账号对目标集群的访问权限，取消不必要的创建和修改集群资源的权限，请参见Kubernetes集群访问控制授权概述。
• 您可以通过吊销KubeConfig功能，请主账号对疑似泄露的Config及时进行吊销操作，请参见吊销集群的 KubeConfig 凭证。