CVE-2022-31079
KubeEdge Cloud Stream and Edge Stream DoS from large stream message
Severity Score
Exploit Likelihood
Affected Versions
Public Exploits
0Exploited in Wild
-Decision
Descriptions
KubeEdge is an open source system for extending native containerized application orchestration capabilities to hosts at Edge. Prior to versions 1.11.1, 1.10.2, and 1.9.4, the Cloud Stream server and the Edge Stream server reads the entire message into memory without imposing a limit on the size of this message. An attacker can exploit this by sending a large message to exhaust memory and cause a DoS. The Cloud Stream server and the Edge Stream server are under DoS attack in this case. The consequence of the exhaustion is that the CloudCore and EdgeCore will be in a denial of service. Only an authenticated user can cause this issue. It will be affected only when users enable `cloudStream` module in the config file `cloudcore.yaml` and enable `edgeStream` module in the config file `edgecore.yaml`. This bug has been fixed in Kubeedge 1.11.1, 1.10.2, and 1.9.4. As a workaround, disable cloudStream module in the config file `cloudcore.yaml` and disable edgeStream module in the config file `edgecore.yaml`.
KubeEdge es un sistema de código abierto para extender las capacidades de orquestación de aplicaciones nativas en contenedores a los hosts en Edge. En versiones anteriores a 1.11.1, 1.10.2 y 1.9.4, el servidor Cloud Stream y el servidor Edge Stream leen todo el mensaje en la memoria sin imponer un límite al tamaño de este mensaje. Un atacante puede aprovecharse de esto mediante el envío de un mensaje de gran tamaño para agotar la memoria y causar una DoS. En este caso, el servidor Cloud Stream y el servidor Edge Stream sufren un ataque DoS. La consecuencia del agotamiento es que el CloudCore y el EdgeCore estarán en una situación de denegación de servicio. Sólo un usuario autenticado puede causar este problema. Sólo está afectado cuando los usuarios habiliten el módulo "cloudStream" en el archivo de configuración "cloudcore.yaml" y habiliten el módulo "edgeStream" en el archivo de configuración "edgecore.yaml". Este error ha sido corregido en Kubeedge versiones 1.11.1, 1.10.2 y 1.9.4. Como mitigación, deshabilite el módulo cloudStream en el archivo de configuración "cloudcore.yaml" y deshabilite el módulo edgeStream en el archivo de configuración "edgecore.yaml"
CVSS Scores
SSVC
- Decision:-
Timeline
- 2022-05-18 CVE Reserved
- 2022-07-11 CVE Published
- 2024-02-01 EPSS Updated
- 2024-08-03 CVE Updated
- ---------- Exploited in Wild
- ---------- KEV Due Date
- ---------- First Exploit
CWE
- CWE-400: Uncontrolled Resource Consumption
- CWE-770: Allocation of Resources Without Limits or Throttling
CAPEC
References (1)
| URL | Tag | Source |
|---|---|---|
| https://github.com/kubeedge/kubeedge/security/advisories/GHSA-wrcr-x4qj-j543 | Third Party Advisory |
| URL | Date | SRC |
|---|
| URL | Date | SRC |
|---|
| URL | Date | SRC |
|---|
Affected Vendors, Products, and Versions
| Vendor | Product | Version | Other | Status | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Vendor | Product | Version | Other | Status | <-- --> | Vendor | Product | Version | Other | Status |
| Linuxfoundation Search vendor "Linuxfoundation" | Kubeedge Search vendor "Linuxfoundation" for product "Kubeedge" | < 1.9.4 Search vendor "Linuxfoundation" for product "Kubeedge" and version " < 1.9.4" | - |
Affected
| ||||||
| Linuxfoundation Search vendor "Linuxfoundation" | Kubeedge Search vendor "Linuxfoundation" for product "Kubeedge" | >= 1.10.0 < 1.10.2 Search vendor "Linuxfoundation" for product "Kubeedge" and version " >= 1.10.0 < 1.10.2" | - |
Affected
| ||||||
| Linuxfoundation Search vendor "Linuxfoundation" | Kubeedge Search vendor "Linuxfoundation" for product "Kubeedge" | >= 1.11.0 < 1.11.1 Search vendor "Linuxfoundation" for product "Kubeedge" and version " >= 1.11.0 < 1.11.1" | - |
Affected
| ||||||