For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00521
Identificador(es)
ASA-2019-00521, CVE-2019-9512, CVE-2019-9514
Título
Vulnerabilidades de negação de serviço na implementação do HTTP/2
Fabricante(s)
Kubernetes Community
Produto(s)
Go
Kubernetes
Versão(ões) afetada(s)
Todas as versões do Go
Todas as versões do Kubernetes
Versão(ões) corrigida(s)
Go versão 1.12.8
Go versão 1.11.13
Kubernetes versão v1.15.3
Kubernetes versão v1.14.6
Kubernetes versão v1.13.10
Prova de conceito
Desconhecido
Descrição
Servidores net/http e golang.org/x/net/http2 que aceitam conexões diretas de clientes não confiáveis podem ser remotamente levados a alocar uma quantidade ilimitada de memória, até que a execução do programa seja interrompida.
Detalhes técnicos
O primeiro problema permite que um usuário envie pings contínuos para um peer HTTP/2, fazendo com que aquele crie uma fila interna de respostas. Dependendo da eficiência com que esses dados são enfileirados, isso pode consumir em excesso CPU, memória, ou ambos, possivelmente levando a negação de serviço.
O segundo problema permite que um usuário abra vários streams e envie uma solicitação inválida sobre cada streams que deve solicitar frames RST_STREAM do servidor. Dependendo de como o sistema enfileira os frames RST_STREAM, isso pode acarretar uso excessivo de memória, CPU ou ambos, possivelmente implicando negação de serviço.
Créditos
Jonathan Looney (Netflix)
Referência(s)
HTTP/2 Denial of Service Advisory
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-002.md
[security] Go 1.12.8 and Go 1.11.13 are released
https://groups.google.com/forum/#!msg/golang-announce/65QixT3tcmg/DrFiG6vvCwAJ
net/http, x/net/http2: Denial of Service vulnerabilities in the HTTP/2 implementation #33606
https://github.com/golang/go/issues/33606
[ANNOUNCE] Security release of Kubernetes v1.15.3, v1.14.6, v1.13.10 – CVE-2019-9512 and CVE-2019-9514
https://seclists.org/oss-sec/2019/q3/145
CVE-2019-9512
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9512
CVE-2019-9512
https://nvd.nist.gov/vuln/detail/CVE-2019-9512
CVE-2019-9514
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9514
CVE-2019-9514
https://nvd.nist.gov/vuln/detail/CVE-2019-9514
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 27 agosto 2019