一、 漏洞 CVE-2024-12401 基础信息
漏洞标题
Cert-manager: 解析特制的 pem 输入时可能存在 dos 漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在cert-manager软件包中发现了一个漏洞。此漏洞允许能够修改cert-manager读取的PEM数据(例如,在Secret资源中)的攻击者,在cert-manager控制器pod中消耗大量CPU资源,从而有效地对集群中的cert-manager创建拒绝服务(DoS)攻击。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:AIGC 神龙大模型
漏洞标题
Cert-manager: potential dos when parsing specially crafted pem inputs
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A flaw was found in the cert-manager package. This flaw allows an attacker who can modify PEM data that the cert-manager reads, for example, in a Secret resource, to use large amounts of CPU in the cert-manager controller pod to effectively create a denial-of-service (DoS) vector for the cert-manager in the cluster.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
cert-manager 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
cert-manager是cert-manager开源的一个证书管理器。将证书和证书颁发者添加为 Kubernetes 集群中的资源类型,并简化了这些证书的获取、续订和使用过程。 cert-manager存在输入验证错误漏洞,该漏洞源于攻击者可以修改cert-manager读取的PEM数据,从而有效地为集群中的cert-manager创建拒绝服务(DoS)向量。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-12401 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-12401 的情报信息

  • 标题: CVE-2024-12401 - Red Hat Customer Portal -- 🔗来源链接

    标签: vdb-entry x_refsource_REDHAT

    CVE-2024-12401 - Red Hat Customer Portal

  • 标题: Restrict max size of PEM inputs by SgtCoDFish · Pull Request #7400 · cert-manager/cert-manager · GitHub -- 🔗来源链接

    标签:

    Restrict max size of PEM inputs by SgtCoDFish · Pull Request #7400 · cert-manager/cert-manager · GitHub

  • 标题: [release-1.16] Restrict max size of PEM inputs by SgtCoDFish · Pull Request #7401 · cert-manager/cert-manager · GitHub -- 🔗来源链接

    标签:

    [release-1.16] Restrict max size of PEM inputs by SgtCoDFish · Pull Request #7401 · cert-manager/cert-manager · GitHub

  • 标题: [release-1.15] Restrict max size of PEM inputs by SgtCoDFish · Pull Request #7402 · cert-manager/cert-manager · GitHub -- 🔗来源链接

    标签:

    [release-1.15] Restrict max size of PEM inputs by SgtCoDFish · Pull Request #7402 · cert-manager/cert-manager · GitHub

  • 标题: [release-1.12] Restrict max size of PEM inputs by SgtCoDFish · Pull Request #7403 · cert-manager/cert-manager · GitHub -- 🔗来源链接

    标签:

    [release-1.12] Restrict max size of PEM inputs by SgtCoDFish · Pull Request #7403 · cert-manager/cert-manager · GitHub

  • 标题: Potential slowdown / DoS when parsing specially crafted PEM inputs · Advisory · cert-manager/cert-manager · GitHub -- 🔗来源链接

    标签:

    Potential slowdown / DoS when parsing specially crafted PEM inputs · Advisory · cert-manager/cert-manager · GitHub

  • 标题: encoding/pem: Decode method uses extensive CPU when providing large data · Issue #50116 · golang/go -- 🔗来源链接

    标签:

    encoding/pem: Decode method uses extensive CPU when providing large data · Issue #50116 · golang/go

  • 标题: 2327929 – (CVE-2024-12401, GO-2024-3282) CVE-2024-12401 cert-manager: potential DoS when parsing specially crafted PEM inputs -- 🔗来源链接

    标签: issue-tracking x_refsource_REDHAT

    2327929 – (CVE-2024-12401, GO-2024-3282) CVE-2024-12401 cert-manager: potential DoS when parsing specially crafted PEM inputs
  • https://nvd.nist.gov/vuln/detail/CVE-2024-12401