Vulnerabilidad en KubeEdge (CVE-2022-31073)
Severidad:
ALTA
Type:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
11/07/2022
Última modificación:
16/07/2022
Descripción
KubeEdge es un sistema de código abierto para extender las capacidades de orquestación de aplicaciones nativas en contenedores a los hosts en Edge. En versiones anteriores a 1.11.1, 1.10.2 y 1.9.4, el servidor ServiceBus en el lado del borde puede ser susceptible de un ataque DoS si le es enviada una petición HTTP que contenga un cuerpo muy grande. Es posible que el nodo quede sin memoria. La consecuencia del agotamiento es que otros servicios en el nodo, por ejemplo, otros contenedores, serán incapaces de asignar memoria, causando así una denegación de servicio. Las aplicaciones maliciosas que accidentalmente sean arrastradas por los usuarios en el host y tengan acceso a enviar peticiones HTTP al localhost pueden realizar un ataque. Sólo está afectado cuando los usuarios habiliten el módulo "ServiceBus" en el archivo de configuración "edgecore.yaml". Este error ha sido corregido en Kubeedge versiones 1.11.1, 1.10.2 y 1.9.4. Como mitigación, deshabilite el módulo "ServiceBus" en el archivo de configuración "edgecore.yaml"
Impacto
Puntuación base 3.x
7.50
Severidad 3.x
ALTA
Puntuación base 2.0
4.30
Severidad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:linuxfoundation:kubeedge:*:*:*:*:*:*:*:* | 1.9.4 (excluyendo) | |
| cpe:2.3:a:linuxfoundation:kubeedge:*:*:*:*:*:*:*:* | 1.10.0 (incluyendo) | 1.10.2 (excluyendo) |
| cpe:2.3:a:linuxfoundation:kubeedge:*:*:*:*:*:*:*:* | 1.11.0 (incluyendo) | 1.11.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página