Allele Security Intelligence

ASA-2019-00571 – Kubernetes: Parsing da API Server JSON/YAML vulnerável a ataque de exaustão de recursos

Publicado em 21 outubro 201921 outubro 2019 por Allele Security Intelligence em Alertas

Vulnerabilidade de negação de serviço no kube-apiserver, permitindo que usuários autorizados enviando cargas YAML ou JSON mal-intencionadas façam com que o kube-apiserver consuma CPU ou memória em excesso, potencialmente travando e ficando indisponível. Antes da v1.14.0, a política RBAC padrão autorizava usuários anônimos a enviar solicitações que poderiam acionar essa vulnerabilidade.

ASA-2019-00474 – Mikrotik RouterOS: Exaustão de stack via parsing recursivo de JSON

Publicado em 3 agosto 20198 dezembro 2019 por Allele Security Intelligence em Alertas

Esta vulnerabilidade é semelhante a CVE-2018-1158. Um usuário autenticado que se comunica com o binário www pode acionar uma vulnerabilidade de exaustão de stack por meio de parsing recursivo de tipo de mensagem contendo JSON.