ASA-2019-00494 – Kubernetes: /debug/pprof exposto na porta do healthz do kubelet

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00494

Identificador(es)

ASA-2019-00494, CVE-2019-11248

Título

/debug/pprof exposto na porta do healthz do kubelet

Fabricante(s)

Kubernetes Community

Produto(s)

Kubernetes

Versão(ões) afetada(s)

Kubernetes versões anteriores a 1.15.0
Kubernetes versões anteriores a 1.14.4
Kubernetes versões anteriores a 1.13.8
Kubernetes versões anteriores a 1.12.10

Versão(ões) corrigida(s)

Kubernetes versão a 1.15
Kubernetes versão a 1.14
Kubernetes versão a 1.13

Prova de conceito

Desconhecida.

Descrição

O endpoint de debug /debug/pprof é exposto pela porta não autenticada do healthz do Kubelet. O problema tem severidade média e é exposto localmente pela configuração padrão.

Detalhes técnicos

O endpoint go pprof é exposto pela porta healthz do Kubelet. Esse endpoint pode potencialmente vazar informações confidenciais, como endereços de memória e configurações interna do Kubelet, ou permitir negação de serviço limitada.

Créditos

Jordan Zebor (F5 Networks)

Referência(s)

CVE-2019-11248: /debug/pprof exposed on kubelet’s healthz port #81023
https://github.com/kubernetes/kubernetes/issues/81023

[ANNOUNCE] CVE-2019-11248: /debug/pprof exposed on kubelet’s healthz port
https://groups.google.com/forum/#!topic/kubernetes-security-announce/pKELclHIov8

Automated cherry pick of #78313: Avoid the default server mux #79184
https://github.com/kubernetes/kubernetes/pull/79184

Automated cherry pick of #78313: Avoid the default server mux #79183
https://github.com/kubernetes/kubernetes/pull/79183

Automated cherry pick of #78313: Avoid the default server mux #79182
https://github.com/kubernetes/kubernetes/pull/79182

CVE-2019-11248: /debug/pprof exposed on kubelet’s healthz port #78313
https://github.com/kubernetes/kubernetes/pull/78313

Package pprof
https://golang.org/pkg/net/http/pprof/

CVE-2019-11248
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11248

CVE-2019-11248
https://nvd.nist.gov/vuln/detail/CVE-2019-11248

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 14 agosto 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.