PT-2022-20513 · Kubeedge · Kubeedge
Adam Korczynski
+1
·
Publicado
2022-07-11
·
Atualizado
2024-08-21
·
CVE-2022-31078
CVSS v3.1
4.4
Média
| Vetor | AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do KubeEdge anteriores à 1.11.1
Versões do KubeEdge anteriores à 1.10.2
Versões do KubeEdge anteriores à 1.9.4
Descrição
O CloudCore Router no KubeEdge não impõe um limite ao tamanho das respostas às solicitações feitas pelo manipulador REST, permitindo que um invasor faça uma solicitação que retornará uma resposta HTTP com um corpo grande e causará uma negação de serviço. Isso pode ocorrer quando o módulo
router está habilitado no arquivo de configuração cloudcore.yaml. Apenas um usuário autenticado da nuvem pode realizar um ataque. A consequência do esgotamento é que o CloudCore ficará em uma situação de negação de serviço.Recomendações
Para versões anteriores à 1.11.1, atualize para a versão 1.11.1 ou posterior.
Para versões anteriores à 1.10.2, atualize para a versão 1.10.2 ou posterior.
Para versões anteriores à 1.9.4, atualize para a versão 1.9.4 ou posterior.
Como solução temporária, desative o módulo
router no arquivo de configuração cloudcore.yaml, definindo enable como false.Exploit
Correção
Resource Exhaustion
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Kubeedge