Vulnerabilidad en CubeFS (CVE-2023-46738)

CubeFS es un sistema de almacenamiento de archivos nativo de la nube de código abierto. Se encontró una vulnerabilidad de seguridad en CubeFS HandlerNode en versiones anteriores a la 3.3.1 que podría permitir a los usuarios autenticados enviar solicitudes manipuladas con fines malintencionados que bloquearían el ObjectNode y negarían a otros usuarios su uso. La causa principal fue el manejo inadecuado de las solicitudes HTTP entrantes que podrían permitir a un atacante controlar la cantidad de memoria que asignaría el ObjectNode. Una solicitud maliciosa podría hacer que el ObjectNode asigne más memoria de la que la máquina tenía disponible, y el atacante podría agotar la memoria mediante una única solicitud maliciosa. Un atacante necesitaría estar autenticado para poder invocar el código vulnerable con su solicitud maliciosa y tener permisos para eliminar objetos. Además, el atacante necesitaría conocer los nombres de los depósitos existentes de la implementación de CubeFS; de lo contrario, la solicitud sería rechazada antes de llegar al código vulnerable. Como tal, el atacante más probable es un usuario interno o un atacante que ha violado la cuenta de un usuario existente en el clúster. El problema se solucionó en la versión 3.3.1. No existe otra mitigación además de la actualización.