官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
漏洞概述
SUSE Rancher 安全团队近日发布安全公告,披露了开源容器管理平台 Rancher Manager 中存在的一个高危漏洞(CVE-2024-58259)。该漏洞 CVSS 评分为 8.2 分,未授权和已授权攻击者均可利用此漏洞造成拒绝服务(DoS)攻击。
Rancher 是一款面向生产环境容器部署的开源容器管理平台,能够简化 Kubernetes 集群的运维管理,满足企业 IT 需求并赋能 DevOps 团队。其在云环境和本地部署中的广泛应用,使得任何服务中断都可能对企业运营造成严重影响。
漏洞详情
该漏洞源于 Rancher Manager 未对某些公共 API 和认证 API 端点实施请求体大小限制。根据公告说明:"恶意用户可通过发送过大的负载数据包进行利用,这些数据在处理过程中会完全加载到内存中。"
具体危害包括:
- 拒绝服务(DoS):当内存消耗超过可用资源时,服务器进程可能崩溃或失去响应
- 双重攻击路径:虽然最初在未认证的
/v3-public/端点中发现此问题,但多个认证 API 同样缺乏请求体大小限制,扩大了潜在攻击面
攻击者通过向易受攻击的端点发送超大的二进制或文本负载,可破坏 Rancher 的可用性,影响托管 Kubernetes 集群的管理和用户操作。
修复方案
SUSE 已通过引入默认防护机制修复该漏洞:"通过设置 1MiB 的默认限制值及可调整参数来解决此漏洞"。已修复版本包括:
- Rancher v2.12.1
- Rancher v2.11.5
- Rancher v2.10.9
- Rancher v2.9.12
对于无法立即升级的管理员,公告提供了临时缓解措施:"如果无法升级到修复版本,请确保手动设置请求体大小限制。例如使用 nginx-ingress 控制器并仅允许通过入口的请求"。详细操作指南可参阅 SUSE 知识库文章。
参考来源:
CVE-2024-58259: DoS Flaw in Rancher Manager Allows Unauthenticated Attackers to Crash Servers
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)