关键漏洞信息 漏洞标题 Unauthenticated Denial of Service 发布者和时间 samjustus published GHSA-4h45-jpvh-6p5j 5 days ago 影响版本和修复版本 受影响版本: - >=2.12.0, =2.11.0, =2.10.0, =2.9.0, <2.9.12 修复版本: - 2.12.1 - 2.11.5 - 2.10.9 - 2.9.12 严重性 CVSS v3 base metrics: - Attack vector: Network - Attack complexity: Low - Privileges required: None - User interaction: None - Scope: Unchanged - Confidentiality: None - Integrity: None - Availability: High CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE ID: CVE-2024-58259 描述和影响 描述: Rancher Manager在某些公共(未认证)和认证的API端点上没有强制执行请求体大小限制,允许恶意用户通过发送过大的负载来利用此漏洞。 影响: - Denial of Service (DoS): 当内存消耗超过可用资源时,服务器进程可能会崩溃或变得无响应。 - 未认证和认证的利用: 虽然问题最初在未认证的/v3-public/端点上观察到,但请求体大小限制的缺失也影响了几个认证的API。 修复措施 修复方法: 通过添加默认的1MB限制和设置来解决此漏洞。 修复版本: v2.12.1, v2.11.5, v2.10.9, v2.9.12 解决方案 如果无法升级到固定版本,请确保手动设置请求体大小限制。例如,使用nginx-ingress控制器并仅允许通过入口的请求。 参考资料 联系SUSE Rancher安全团队进行安全相关查询。 在Rancher仓库中打开问题。 验证我们的支持矩阵和产品支持生命周期**。