CVE-2022-21698

Versões do client golang anteriores à 1.11.1

O servidor HTTP no client golang está suscetível a um ataque de negação de serviço (DoS) devido a cardinalidade ilimitada e a um possível esgotamento de memória ao processar solicitações com métodos HTTP não padronizados. Para ser afetado, um software instrumentado deve usar qualquer middleware promhttp.InstrumentHandler*, exceto RequestsInFlight, não filtrar nenhum método específico antes do middleware, passar métricas com o nome de rótulo method para o middleware e não ter nenhum firewall/LB/proxy que filtre solicitações com method desconhecido.

Para versões do client golang anteriores à 1.11.1, atualize para a versão 1.11.1 ou posterior para resolver o problema.

Como solução temporária, considere remover o nome da etiqueta method do contador/medidor usado no InstrumentHandler.

Como alternativa, desative os manipuladores promhttp afetados ou adicione um middleware personalizado antes do manipulador promhttp que irá sanitizar o método de solicitação fornecido pelo Go http.Request.

Usar um proxy reverso ou um firewall de aplicativos web, configurado para permitir apenas um conjunto limitado de métodos, também pode ajudar a mitigar o problema.