Vulnerabilidad en KubeEdge (CVE-2022-31076)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-476
Desreferencia a puntero nulo (NULL)
Fecha de publicación:
27/06/2022
Última modificación:
07/07/2022
Descripción
KubeEdge se basa en Kubernetes y extiende la orquestación de aplicaciones en contenedores nativos y la administración de dispositivos a los hosts en el Edge. En versiones afectadas, un mensaje malicioso puede bloquear CloudCore al desencadenar una desreferencia de puntero nil en el servidor UDS. Dado que el servidor UDS sólo es comunicado con el controlador CSI en el lado de la nube, el ataque es limitado a la red local del host. Como tal, un atacante ya necesitaría ser un usuario autenticado de la Nube. Además, sólo será afectado cuando los usuarios activen el interruptor unixsocket en el archivo de configuración cloudcore.yaml. Este error ha sido corregido en Kubeedge versiones 1.11.0, 1.10.1 y 1.9.3. Los usuarios deben actualizar a estas versiones para resolver el problema. Los usuarios que no puedan actualizar deberán deshabilitar el interruptor unixsocket de CloudHub en el archivo de configuración cloudcore.yaml
Impacto
Puntuación base 3.x
5.70
Gravedad 3.x
MEDIA
Puntuación base 2.0
2.70
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:linuxfoundation:kubeedge:*:*:*:*:*:*:*:* | 1.9.3 (excluyendo) | |
| cpe:2.3:a:linuxfoundation:kubeedge:1.10.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:linuxfoundation:kubeedge:1.10.0:beta0:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página