ASA-2019-00521 – Go, Kubernetes: Vulnerabilidades de negação de serviço na implementação do HTTP/2

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00521

Identificador(es)

ASA-2019-00521, CVE-2019-9512, CVE-2019-9514

Título

Vulnerabilidades de negação de serviço na implementação do HTTP/2

Fabricante(s)

Google

Kubernetes Community

Produto(s)

Go

Kubernetes

Versão(ões) afetada(s)

Todas as versões do Go

Todas as versões do Kubernetes

Versão(ões) corrigida(s)

Go versão 1.12.8
Go versão 1.11.13

Kubernetes versão v1.15.3
Kubernetes versão v1.14.6
Kubernetes versão v1.13.10

Prova de conceito

Desconhecido

Descrição

Servidores net/http e golang.org/x/net/http2 que aceitam conexões diretas de clientes não confiáveis podem ser remotamente levados a alocar uma quantidade ilimitada de memória, até que a execução do programa seja interrompida.

Detalhes técnicos

O primeiro problema permite que um usuário envie pings contínuos para um peer HTTP/2, fazendo com que aquele crie uma fila interna de respostas. Dependendo da eficiência com que esses dados são enfileirados, isso pode consumir em excesso CPU, memória, ou ambos, possivelmente levando a negação de serviço.

O segundo problema permite que um usuário abra vários streams e envie uma solicitação inválida sobre cada streams que deve solicitar  frames RST_STREAM do servidor. Dependendo de como o sistema enfileira os frames RST_STREAM, isso pode acarretar uso excessivo de memória, CPU ou ambos, possivelmente implicando negação de serviço.

Créditos

Jonathan Looney (Netflix)

Referência(s)

HTTP/2 Denial of Service Advisory
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-002.md

[security] Go 1.12.8 and Go 1.11.13 are released
https://groups.google.com/forum/#!msg/golang-announce/65QixT3tcmg/DrFiG6vvCwAJ

net/http, x/net/http2: Denial of Service vulnerabilities in the HTTP/2 implementation #33606
https://github.com/golang/go/issues/33606

[ANNOUNCE] Security release of Kubernetes v1.15.3, v1.14.6, v1.13.10 – CVE-2019-9512 and CVE-2019-9514
https://seclists.org/oss-sec/2019/q3/145

CVE-2019-9512
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9512

CVE-2019-9512
https://nvd.nist.gov/vuln/detail/CVE-2019-9512

CVE-2019-9514
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9514

CVE-2019-9514
https://nvd.nist.gov/vuln/detail/CVE-2019-9514

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 27 agosto 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.