CVE-2019-11248 — 神龙十问 AI 深度分析摘要
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Kubelet 的 `/debug/pprof` 接口意外暴露在 **healthz** 端口。 💥 **后果**:未授权攻击者可获取敏感信息,甚至升级为 **远程代码执行 (RCE)**。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-419(未保护的入口点)。 🛠️ **缺陷**:网络系统配置错误,导致调试接口对公网或非授权用户开放。
Q3影响谁?(版本/组件)
📦 **组件**:Google Kubernetes (Kubernetes)。 📅 **版本**: - < 1.15.0 - < 1.14.4 - < 1.13.8 - < 1.12.10
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**: 1. 获取 **敏感信息**(内存数据、内部状态)。 2. 利用暴露的内存数据,实现 **RCE(远程代码执行)**。
Q5利用门槛高吗?(认证/配置)
🔓 **门槛**: - **无需认证**(未授权即可访问)。 - 依赖 **配置错误**(接口暴露)。 - 利用难度:中等(需结合内存数据逃逸)。
Q6有现成Exp吗?(PoC/在野利用)
💻 **Exp/PoC**: - ✅ **有现成 PoC**(GitHub 多个仓库提供)。 - 🎯 **在野利用**:PoC 明确展示如何从信息泄露升级为 **RCE**。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: - 扫描 Kubelet 的 **healthz 端口**。 - 检查是否可访问 `/debug/pprof` 路径。 - 使用 Nmap 或自定义脚本探测该端点。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**: - ✅ **已修复**(2019-08-29 发布)。 - 建议升级至指定 **安全版本**(见 Q3)。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**: - 若无法升级,需 **限制 healthz 端口访问**。 - 配置防火墙,仅允许可信 IP 访问 Kubelet 调试接口。 - 禁用或隐藏 `/debug/pprof` 端点。
Q10急不急?(优先级建议)
🔥 **优先级**:**高**。 - 无需认证即可利用。 - 可导致 **RCE**,后果严重。 - 建议 **立即升级** 或实施网络隔离。