For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00571
Identificador(es)
ASA-2019-00571, CVE-2019-11253
Título
Parsing da API Server JSON/YAML vulnerável a ataque de exaustão de recursos
Fabricante(s)
Cloud Native Computing Foundation
Produto(s)
Kubernetes
Versão(ões) afetada(s)
Kubernetes versões anteriores v1.16.2
Kubernetes versões anteriores v1.15.5
Kubernetes versões anteriores v1.14.8
Kubernetes versões anteriores v1.13.12
Versão(ões) corrigida(s)
Kubernetes versão v1.16.2
Kubernetes versão v1.15.5
Kubernetes versão v1.14.8
Kubernetes versão v1.13.12
Prova de conceito
Sim
Descrição
Vulnerabilidade de negação de serviço no kube-apiserver, permitindo que usuários autorizados enviando cargas YAML ou JSON mal-intencionadas façam com que o kube-apiserver consuma CPU ou memória em excesso, potencialmente travando e ficando indisponível. Antes da v1.14.0, a política RBAC padrão autorizava usuários anônimos a enviar solicitações que poderiam acionar essa vulnerabilidade.
Detalhes técnicos
Desconhecido
Créditos
Desconhecido
Referência(s)
CVE-2019-11253: Kubernetes API Server JSON/YAML parsing vulnerable to resource exhaustion attack #83253
https://github.com/kubernetes/kubernetes/issues/83253
Analysis of Two Newly Patched Kubernetes Vulnerabilities
https://blog.paloaltonetworks.com/2019/10/cloud-kubernetes-vulnerabilities/
CVE-2019-11253 Kubernetes API Server YAML Parsing Remote Denial of Service PoC aka “Billion Laughs”
https://gist.github.com/bgeesaman/0e0349e94cd22c48bf14d8a9b7d6b8f2
limit yaml/json decode size #83261
https://github.com/kubernetes/kubernetes/pull/83261
[1.13] Automated cherry pick of #83261: bump gopkg.in/yaml.v2 v2.2.4 #83436
https://github.com/kubernetes/kubernetes/pull/83436
[1.14] Automated cherry pick of #83261: bump gopkg.in/yaml.v2 v2.2.4 #83435
https://github.com/kubernetes/kubernetes/pull/83435
[1.15] Automated cherry pick of #83261: bump gopkg.in/yaml.v2 v2.2.4 #83434
https://github.com/kubernetes/kubernetes/pull/83434
[1.16] Automated cherry pick of #83261: bump gopkg.in/yaml.v2 v2.2.4 #83433
https://github.com/kubernetes/kubernetes/pull/83433
CVE-2019-11253
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11253
CVE-2019-11253
https://nvd.nist.gov/vuln/detail/CVE-2019-11253
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 21 outubro 2019