PT-2022-20512 · Kubeedge · Kubeedge
Adam Korczynski
+1
·
Publicado
2022-06-25
·
Atualizado
2024-08-21
·
CVE-2022-31077
CVSS v3.1
4.0
Média
| Vetor | AV:A/AC:H/PR:H/UI:R/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do KubeEdge anteriores à 1.11.0
Versões do KubeEdge anteriores à 1.10.1
Versões do KubeEdge anteriores à 1.9.3
Descrição
Uma resposta de mensagem maliciosa do KubeEdge pode travar o servidor controlador do CSI Driver ao acionar um panic de desreferência de ponteiro nulo, resultando em uma negação de serviço. Este problema afeta o KubeEdge, que estende a orquestração de aplicativos em contêineres nativos e o gerenciamento de dispositivos para hosts na borda (Edge). Um invasor precisaria ser um usuário autenticado na nuvem e iniciar o
csidriver para potencialmente explorar esta vulnerabilidade.Recomendações
Para versões anteriores à 1.11.0, atualize para a versão 1.11.0 para resolver o problema.
Para versões anteriores à 1.10.1, atualize para a versão 1.10.1 para resolver o problema.
Para versões anteriores à 1.9.3, atualize para a versão 1.9.3 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao servidor controlador do CSI Driver até que um patch seja aplicado.
No momento, não há outras soluções alternativas disponíveis.
Exploit
Correção
NULL Pointer Dereference
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kubeedge