PT-2022-20508 · Kubeedge · Kubeedge
Adam Korczynski
+1
·
Publicado
2022-07-11
·
Atualizado
2024-08-21
·
CVE-2022-31073
CVSS v3.1
6.5
Média
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do KubeEdge anteriores à 1.11.1
Versões do KubeEdge anteriores à 1.10.2
Versões do KubeEdge anteriores à 1.9.4
Descrição
O servidor ServiceBus no lado do edge pode estar suscetível a um ataque DoS se receber uma solicitação HTTP contendo um corpo (Body) muito grande. É possível que o nó fique sem memória, causando uma negação de serviço para outros serviços no nó, como outros contêineres. Essa vulnerabilidade pode ser explorada por aplicativos maliciosos que tenham permissão para enviar solicitações HTTP para o localhost, mas somente quando o módulo
ServiceBus estiver habilitado no arquivo de configuração edgecore.yaml.Recomendações
Para versões anteriores à 1.11.1, atualize para a versão 1.11.1 ou posterior.
Para versões anteriores à 1.10.2, atualize para a versão 1.10.2 ou posterior.
Para versões anteriores à 1.9.4, atualize para a versão 1.9.4 ou posterior.
Como solução alternativa temporária, desative o módulo
ServiceBus no arquivo de configuração edgecore.yaml.Exploit
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kubeedge