遠端 Azure Linux 3.0 主機上安裝的 application-gateway-kubernetes-ingress / cri-o / keda / kube-vip-cloud-provider / kured / moby-engine / multus 版本比測試版舊。因此，此版本會受到 CVE-2022-21698 公告中提及的一個弱點影響。

  - client_golang 是 Prometheus 中 Go 應用程式的檢測程式庫，client_golang 中的 promhttp 套件可提供有關 HTTP 伺服器和用戶端的工具。在 client_golang 1.11.1 之前版本中，處理使用非標準 HTTP 方法的要求時，HTTP 伺服器容易因無限制的基數而遭受拒絕服務攻擊，並可能耗盡記憶體。如要讓受檢測的軟體受到影響，必須滿足以下條件：使用除「RequestsInFlight」以外的任何「promhttp.InstrumentHandler*」中間件；
    在中介軟體之前，不篩選任何特定方法 (例如 GET)；將具有 `method` 標籤名稱的指標傳遞至我們的中間件；且沒有任何 Firewall/LB/Proxy 篩選出含有未知「method」的要求。
    client_golang 1.11.1 版本包含針對此問題的修補程式。有數種因應措施可用，包括從 InstrumentHandler 使用的計數器/量器移除 `method` 標籤名稱；關閉受影響的 promhttp 處理常式；在 promhttp 處理常式之前新增自訂中間件，以便審查 Go http.Request 提供的要求方法；以及使用設定為僅允許一組有限方法的反向代理伺服器或 Web 應用程式防火牆。(CVE-2022-21698)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Azure Linux 3.0 安全性更新application-gateway-kubernetes-ingress / cri-o / keda / kube-vip-cloud-provider / kured / moby-engine / multus (CVE-2022-21698)

high Nessus Plugin ID 215254

找不到依附元件