kubernetes 安全漏洞
对外部实体的文件或目录可访问
Kubernetes是美国Linux基金会的一套开源的Docker容器集群管理系统。该系统为容器化的应用提供资源调度、部署运行、服务发现和扩容缩容等功能。
kubernetes 存在安全漏洞,攻击者可利用该漏洞通过创建具有精心编制的子路径卷装载的pod,以访问卷外的文件和目录,包括主机节点的文件系统上的文件和目录
go.uuid 安全特征问题漏洞
使用具有密码学弱点缺陷的PRNG
go.uuid是一个用于 Go 的 UUID 包。这个包提供了通用唯一标识符 (UUID) 的纯 Go 实现。支持 UUID 的创建和解析。
go.uuid存在安全漏洞,该漏洞源于g.rand.Read函数中存在不安全的随机性导致攻击者可利用该漏洞可以预测生成的uuid。。
miekg Go DNS package 安全特征问题漏洞
使用具有密码学弱点缺陷的PRNG
miekg Go DNS package是一款DNS服务器软件包。
miekg Go DNS package 1.1.25之前版本(用在CoreDNS 1.6.6之前版本和其他产品)中存在安全漏洞,该漏洞源于程序没有正确生成随机数。攻击者可利用该漏洞伪造响应。
jwt-go是个人开发者的一个Go语言的JWT实现。
jwt-go 4.0.0-preview1之前版本存在安全漏洞。攻击者可利用该漏洞在使用[]string{} for m[\"aud\"](规范允许)的情况下绕过预期的访问限制。
Gorilla Websocket 输入验证错误漏洞
Gorilla Websocket是Gorilla个人开发者的一个基于Go语言实现的Websocket代码库。
Gorilla WebSocket 1.4.0之前版本存在输入验证错误漏洞,该漏洞源于通过websocket连接接收的websocket帧的长度存在整数溢出漏洞。攻击者可利用该漏洞会利用这个漏洞对允许websocket连接的HTTP服务器发起拒绝服务攻击。
Google Kubernetes API Server 资源管理错误漏洞
循环内过多的平台资源消耗
Google Kubernetes是美国谷歌(Google)公司的一套开源的Docker容器集群管理系统。该系统为容器化的应用提供资源调度、部署运行、服务发现和扩容缩容等功能。API server是其中的一个API(应用编程接口)服务器。
Google Kubernetes 1.15.10之前版本、1.16.7之前版本和1.17.3之前版本中的API Server组件存在资源管理错误漏洞。远程攻击者可借助特制请求利用该漏洞造成拒绝服务。
Kubernetes是美国Linux基金会的一套开源的Docker容器集群管理系统。该系统为容器化的应用提供资源调度、部署运行、服务发现和扩容缩容等功能。
Kubernetes 存在安全漏洞,攻击者可利用该漏洞可以通过Kubernetes上的LoadBalancer ExternalIP充当中间人,以便在会话中读取或写入数据。
评论