For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00494
Identificador(es)
ASA-2019-00494, CVE-2019-11248
Título
/debug/pprof exposto na porta do healthz do kubelet
Fabricante(s)
Kubernetes Community
Produto(s)
Kubernetes
Versão(ões) afetada(s)
Kubernetes versões anteriores a 1.15.0
Kubernetes versões anteriores a 1.14.4
Kubernetes versões anteriores a 1.13.8
Kubernetes versões anteriores a 1.12.10
Versão(ões) corrigida(s)
Kubernetes versão a 1.15
Kubernetes versão a 1.14
Kubernetes versão a 1.13
Prova de conceito
Desconhecida.
Descrição
O endpoint de debug /debug/pprof é exposto pela porta não autenticada do healthz do Kubelet. O problema tem severidade média e é exposto localmente pela configuração padrão.
Detalhes técnicos
O endpoint go pprof é exposto pela porta healthz do Kubelet. Esse endpoint pode potencialmente vazar informações confidenciais, como endereços de memória e configurações interna do Kubelet, ou permitir negação de serviço limitada.
Créditos
Jordan Zebor (F5 Networks)
Referência(s)
CVE-2019-11248: /debug/pprof exposed on kubelet’s healthz port #81023
https://github.com/kubernetes/kubernetes/issues/81023
[ANNOUNCE] CVE-2019-11248: /debug/pprof exposed on kubelet’s healthz port
https://groups.google.com/forum/#!topic/kubernetes-security-announce/pKELclHIov8
Automated cherry pick of #78313: Avoid the default server mux #79184
https://github.com/kubernetes/kubernetes/pull/79184
Automated cherry pick of #78313: Avoid the default server mux #79183
https://github.com/kubernetes/kubernetes/pull/79183
Automated cherry pick of #78313: Avoid the default server mux #79182
https://github.com/kubernetes/kubernetes/pull/79182
CVE-2019-11248: /debug/pprof exposed on kubelet’s healthz port #78313
https://github.com/kubernetes/kubernetes/pull/78313
Package pprof
https://golang.org/pkg/net/http/pprof/
CVE-2019-11248
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11248
CVE-2019-11248
https://nvd.nist.gov/vuln/detail/CVE-2019-11248
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 8 dezembro 2019