ASA-2019-00571 – Kubernetes: Parsing da API Server JSON/YAML vulnerável a ataque de exaustão de recursos

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00571

Identificador(es)

ASA-2019-00571, CVE-2019-11253

Título

Parsing da API Server JSON/YAML vulnerável a ataque de exaustão de recursos

Fabricante(s)

Cloud Native Computing Foundation

Produto(s)

Kubernetes

Versão(ões) afetada(s)

Kubernetes versões anteriores v1.16.2
Kubernetes versões anteriores v1.15.5
Kubernetes versões anteriores v1.14.8
Kubernetes versões anteriores v1.13.12

Versão(ões) corrigida(s)

Kubernetes versão v1.16.2
Kubernetes versão v1.15.5
Kubernetes versão v1.14.8
Kubernetes versão v1.13.12

Prova de conceito

Sim

Descrição

Vulnerabilidade de negação de serviço no kube-apiserver, permitindo que usuários autorizados enviando cargas YAML ou JSON mal-intencionadas façam com que o kube-apiserver consuma CPU ou memória em excesso, potencialmente travando e ficando indisponível. Antes da v1.14.0, a política RBAC padrão autorizava usuários anônimos a enviar solicitações que poderiam acionar essa vulnerabilidade.

Detalhes técnicos

Desconhecido

Créditos

Desconhecido

Referência(s)

CVE-2019-11253: Kubernetes API Server JSON/YAML parsing vulnerable to resource exhaustion attack #83253
https://github.com/kubernetes/kubernetes/issues/83253

Analysis of Two Newly Patched Kubernetes Vulnerabilities
https://blog.paloaltonetworks.com/2019/10/cloud-kubernetes-vulnerabilities/

CVE-2019-11253 Kubernetes API Server YAML Parsing Remote Denial of Service PoC aka “Billion Laughs”
https://gist.github.com/bgeesaman/0e0349e94cd22c48bf14d8a9b7d6b8f2

limit yaml/json decode size #83261
https://github.com/kubernetes/kubernetes/pull/83261

[1.13] Automated cherry pick of #83261: bump gopkg.in/yaml.v2 v2.2.4 #83436
https://github.com/kubernetes/kubernetes/pull/83436

[1.14] Automated cherry pick of #83261: bump gopkg.in/yaml.v2 v2.2.4 #83435
https://github.com/kubernetes/kubernetes/pull/83435

[1.15] Automated cherry pick of #83261: bump gopkg.in/yaml.v2 v2.2.4 #83434
https://github.com/kubernetes/kubernetes/pull/83434

[1.16] Automated cherry pick of #83261: bump gopkg.in/yaml.v2 v2.2.4 #83433
https://github.com/kubernetes/kubernetes/pull/83433

CVE-2019-11253
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11253

CVE-2019-11253
https://nvd.nist.gov/vuln/detail/CVE-2019-11253

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 21 outubro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.