PT-2022-20514 · Kubeedge · Kubeedge
Adam Korczynski
+1
·
Publicado
2022-07-11
·
Atualizado
2024-08-21
·
CVE-2022-31079
CVSS v3.1
4.4
Média
| Vetor | AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do KubeEdge anteriores à 1.11.1
Versões do KubeEdge anteriores à 1.10.2
Versões do KubeEdge anteriores à 1.9.4
Descrição
O servidor Cloud Stream e o servidor Edge Stream leem a mensagem inteira na memória sem impor um limite ao tamanho dessa mensagem. Um invasor pode explorar essa vulnerabilidade enviando uma mensagem grande para esgotar a memória e causar uma negação de serviço. Nesse caso, o servidor Cloud Stream e o servidor Edge Stream estão sob ataque de negação de serviço. A consequência do esgotamento é que o CloudCore e o EdgeCore ficarão em estado de negação de serviço. Somente um usuário autenticado pode causar esse problema. Ele será afetado apenas quando os usuários habilitarem o módulo
cloudStream no arquivo de configuração cloudcore.yaml e habilitarem o módulo edgeStream no arquivo de configuração edgecore.yaml.Recomendações
Para versões anteriores à 1.11.1, atualize para a versão 1.11.1 ou posterior.
Para versões anteriores à 1.10.2, atualize para a versão 1.10.2 ou posterior.
Para versões anteriores à 1.9.4, atualize para a versão 1.9.4 ou posterior.
Como solução alternativa temporária, desative o módulo
cloudStream no arquivo de configuração cloudcore.yaml e desative o módulo edgeStream no arquivo de configuração edgecore.yaml; em seguida, reinicie os processos cloudcore e edgecore.Exploit
Correção
Resource Exhaustion
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Kubeedge