با انتشار بهروزرسانیهای نرمافزاری برای سیستم متنباز مدیریت کانتینر کوبرنتیس (Kubernetes) در هفتهی جاری، آسیبپذیریهای پیادهسازی کشفشده در پروتکل HTTP/2 وصله شدند. پروتکل HTTP/2، دومین نسخهی تجدیدنظرشدهی بزرگ پروتکل اینترنتی HTTP است که با هدف بهبود عملکرد و ثبات آن توسعه داده شده است.
در اوایل ماه جاری، محققان شرکتهای نتفلیکس (Netflix) و گوگل در مجموع ۸ اشکال امنیتی را که پیادهسازیهای مختلف پروتکل HTTP/2 را تحت تأثیر قرار داده است، بهصورت عمومی افشا کردند. بهرهبرداری از این آسیبپذیریها میتواند با خالیکردن منابع سرور مانند CPU یا حافظه، و یا هر دو، منجر به حملات منع سرویس (DoS) شود. به گفتهی محققان، هر پیادهسازی پروتکل HTTP/2 تحت تأثیر حداقل یكی از این آسیبپذیریها قرار دارد.
به گفتهی محققان، دو مورد از این اشکالهای امنیتی زبان برنامهنویسی Go را که کوبرنتیس براساس آن نوشته شده است، تحت تأثیر قرار میدهند. این دو آسیبپذیری که با شناسههای CVE-2019-9512 و CVE-2019-9514 ردیابی میشوند، در دو بستهی رسمی پیادهسازی پروتکل HTTP، یعنی net/http و golang.org/x/net/http2 قرار دارند. با توجه به اینکه کوبرنتیس براساس پروتکل HTTP و به زبان برنامهنویسیGo نوشته شده است، این زبان نیز تحت تأثیر قرار گرفته و با درنظر گرفتن کامپایلر گولنگ (Golang) وصلهشده، سه نسخهی کوبرنتیس منتشر شده است. نسخههای v1.15.3، v1.14.6 و v1.13.10 کوبرنتیس، نسخههای وصلهشده هستند. به گفتهی محققان امنیتی، یک اشکال امنیتی نیز در کتابخانهی net/http زبان برنامهنویسی Go کشف شده است که تمامی نسخهها و تمامی مؤلفههای کوبرنتیس را تحت تأثیر قرار میدهد. بهرهبرداری از این آسیبپذیری میتواند منجر به حملهی منع سرویس علیه هر فرایندی با شنوندهی HTTP یا HTTPS شود. آن دسته از مؤلفههای کوبرنتیس که امکان اتصال HTTP/2 را فراهم میکنند، ممکن است هنوز هم در نسخههای پیشین آسیبپذیر باشند.