کوبرنتیس آسیب‌پذیری‌های اخیر پروتکل HTTP/2 را وصله می‌کند!

با انتشار به‌روزرسانی‌های نرم‌افزاری برای سیستم متن‌باز مدیریت کانتینر کوبرنتیس (Kubernetes) در هفته‌ی جاری، آسیب‌پذیری‌های پیاده‌سازی کشف‌شده در پروتکل HTTP/2 وصله شدند. پروتکل HTTP/2، دومین نسخه‌ی تجدیدنظرشده‌ی بزرگ پروتکل اینترنتی HTTP است که با هدف بهبود عملکرد و ثبات آن توسعه داده شده است.

در اوایل ماه جاری، محققان شرکت‌های نت‌فلیکس (Netflix) و گوگل در مجموع ۸ اشکال امنیتی را که پیاده‌سازی‌های مختلف پروتکل HTTP/2 را تحت تأثیر قرار داده است، به‌صورت عمومی افشا کردند. بهره‌برداری از این آسیب‌پذیری‌ها می‌تواند با خالی‌کردن منابع سرور مانند CPU یا حافظه، و یا هر دو، منجر به حملات منع سرویس (DoS) شود. به گفته‌ی محققان، هر پیاده‌سازی پروتکل HTTP/2 تحت تأثیر حداقل یكی از این آسیب‌پذیری‌ها قرار دارد.

به گفته‌ی محققان، دو مورد از این اشکال‌های امنیتی زبان برنامه‌نویسی Go را که کوبرنتیس براساس آن نوشته شده است، تحت تأثیر قرار می‌دهند. این دو آسیب‌پذیری که با شناسه‌های CVE-2019-9512 و CVE-2019-9514 ردیابی می‌شوند، در دو بسته‌ی رسمی پیاده‌سازی پروتکل HTTP، یعنی net/http و golang.org/x/net/http2 قرار دارند. با توجه به اینکه کوبرنتیس براساس پروتکل HTTP و به زبان برنامه‌نویسیGo  نوشته شده است، این زبان نیز تحت تأثیر قرار گرفته و با درنظر گرفتن کامپایلر گولنگ (Golang) وصله‌شده، سه نسخه‌ی کوبرنتیس منتشر شده است. نسخه‌های v1.15.3، v1.14.6 و v1.13.10 کوبرنتیس، نسخه‌های وصله‌شده هستند. به گفته‌ی محققان امنیتی، یک اشکال امنیتی نیز در کتابخانه‌ی net/http زبان برنامه‌نویسی Go کشف شده است که تمامی نسخه‌ها و تمامی مؤلفه‌های کوبرنتیس را تحت تأثیر قرار می‌دهد. بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به حمله‌ی منع سرویس علیه هر فرایندی با شنونده‌ی HTTP یا HTTPS شود. آن دسته از مؤلفه‌های کوبرنتیس که امکان اتصال HTTP/2 را فراهم می‌کنند، ممکن است هنوز هم در نسخه‌های پیشین آسیب‌پذیر باشند.

منبع

پست‌های مشابه

Leave a Comment