Vulnerabilidad en HashiCorp Nomad y Nomad Enterprise (CVE-2022-24685)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/02/2022
Última modificación:
11/08/2022
Descripción
HashiCorp Nomad y Nomad Enterprise versiones 1.0.17, 1.1.11 y 1.2.5 permiten HCL no válidos para el punto final de análisis de trabajos, lo que puede causar un uso excesivo de la CPU. Corregido en las versiones 1.0.18, 1.1.12 y 1.2.6.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:hashicorp:nomad:*:*:*:*:-:*:*:* | 1.0.0 (incluyendo) | 1.0.17 (incluyendo) |
| cpe:2.3:a:hashicorp:nomad:*:*:*:*:enterprise:*:*:* | 1.0.0 (incluyendo) | 1.0.17 (incluyendo) |
| cpe:2.3:a:hashicorp:nomad:*:*:*:*:-:*:*:* | 1.1.0 (incluyendo) | 1.1.12 (excluyendo) |
| cpe:2.3:a:hashicorp:nomad:*:*:*:*:enterprise:*:*:* | 1.1.0 (incluyendo) | 1.1.12 (excluyendo) |
| cpe:2.3:a:hashicorp:nomad:*:*:*:*:-:*:*:* | 1.2.0 (incluyendo) | 1.2.6 (excluyendo) |
| cpe:2.3:a:hashicorp:nomad:*:*:*:*:enterprise:*:*:* | 1.2.0 (incluyendo) | 1.2.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://discuss.hashicorp.com
- https://discuss.hashicorp.com/t/hcsec-2022-03-nomad-malformed-job-parsing-results-in-excessive-cpu-usage/
- https://discuss.hashicorp.com/t/hcsec-2022-03-nomad-malformed-job-parsing-results-in-excessive-cpu-usage/35561
- https://security.netapp.com/advisory/ntap-20220331-0007/