被HTTP/2漏洞拖累，Kubernetes释出安全更新

Netflix、Google及CERT/CC在日前揭露了攸关HTTP/2实现的8个安全漏洞，本周容器管理专案Kubernetes指出，用来打造Kubernetes的Go语言，受到其中两个漏洞的波及，也让Kubernetes遭蒙池鱼之殃，导致所有版本都受到相关漏洞的影响，可能造成服务阻断。

HTTP/2为新一代的HTTP传输协定标准，它是该协定自1999年发布HTTP 1.1之后的首个更新，但近日却被发现含有从CVE-2019-9511～CVE-2019-9518的8个安全漏洞，所有的漏洞都可能导致服务阻断（DoS），相关漏洞影响了部署HTTP/2的业者或服务，包括Go语言在内。

K8s贡献者、亦为AWS系统开发工程师的Micah Hausler本周指出，Go语言的net/http函式库存在着CVE-2019-9512与CVE-2019-9514两个安全漏洞，造成任何基于HTTP或HTTPS接听器的程序发生服务阻断，而且波及K8s的所有版本及元件。

Go已经释出Go1.12.9与Go1.11.13来修补这两个漏洞，而K8s则是基于Go的修补释出K8s v1.15.3、K8s v1.14.6与K8s v1.13.10，Hausler建议K8s 用户应尽快升级到最新版本。