漏洞信息
# Kubernetes kubelet 在 healthz 端口上暴露了 /debug/pprof 信息
## 概述
Kubelet 的调试端点 `/debug/pprof` 在未经过身份验证的健康检查端口上暴露,这可能导致敏感信息泄露或有限的服务中断。
## 影响版本
- 1.15.0 之前的版本
- 1.14.4 之前的版本
- 1.13.8 之前的版本
- 1.12.10 之前的版本
## 细节
- Kubelet 的调试端点 `/debug/pprof` 在健康检查端口(`healthz` 端口)上暴露,这个端口允许未经身份验证的访问。
- 该端点可以泄露敏感信息,如内部 Kubelet 内存地址和配置信息。
- 可能会导致有限的服务中断(DoS)。
## 影响
- 该问题的严重程度为中等,但默认配置中并未暴露此问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Kubernetes kubelet exposes /debug/pprof info on healthz port
漏洞描述信息
The debugging endpoint /debug/pprof is exposed over the unauthenticated Kubelet healthz port. The go pprof endpoint is exposed over the Kubelet's healthz port. This debugging endpoint can potentially leak sensitive information such as internal Kubelet memory addresses and configuration, or for limited denial of service. Versions prior to 1.15.0, 1.14.4, 1.13.8, and 1.12.10 are affected. The issue is of medium severity, but not exposed by the default configuration.
CVSS信息
N/A
漏洞类别
未保护的主要通道
漏洞标题
Google Kubernetes 信息泄露漏洞
漏洞描述信息
Google Kubernetes是美国谷歌(Google)公司的一套开源的Docker容器集群管理系统。该系统为容器化的应用提供资源调度、部署运行、服务发现和扩容缩容等功能。 Google Kubernetes中存在信息泄露漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。以下产品及版本受到影响:Google Kubernetes 1.15.0之前版本,1.14.4之前版本,1.13.8之前版本,1.12.10之前版本。
CVSS信息
N/A
漏洞类别
信息泄露