【漏洞修复】node-exporter被检测出来pprof调试信息泄露漏洞

已于 2023-06-09 14:06:02 修改
阅读量2w 收藏 16
点赞数 8
分类专栏: 运维 Prometheus Linux 文章标签: 安全 运维
于 2023-06-09 09:38:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Meepoljd/article/details/131120377
版权
文章讲述了在遭遇安全扫描工具报告node-exporter存在pprof调试信息泄露漏洞的情况,尽管官方认为可能是误报,但为通过安全检查,仍提供了删除pprof包引用并重新编译的解决方案。执行此操作将关闭性能指标采集。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

node-exporter被检测出来pprof调试信息泄露漏洞

说在前面

惯例开篇吐槽,有些二五仔习惯搞点自研的安全扫描工具,然后加点DIY元素,他也不管扫的准不准,就要给你报个高中危的漏洞,然后就要去修复,这次遇到个其他的就是node-exporter默认引入了pprof做一些性能指标的采集,然后二五仔的漏洞扫描工具就给你扫出来这么一条奇葩漏洞:

在这里插入图片描述
先不说处理方法,去github看了一圈,确实有人提了issue:

在这里插入图片描述
看到是中文我就大概知道这些二五仔可能是从同一个货源采购的安全扫描工具,对于这个问题官方在另一个issue中提了一下:

node-exporter[issues]-1911

在这里插入图片描述
大概意思是开发者并没有发现pprof会泄漏啥信息,issue提出者使用的是gosec工具做的静态安全扫描,可能产生很多编译期间的误报,然后社区达成一致的结论是和prometheus社区保持一致,转而使用codeql工具。

在这里插入图片描述

解决方法

但是为了能过所谓的安全检查还是要处理这个事情,处理之前,打开http://{node-exporter-ip}:{port}/debug/pprof的访问链接会出现这样的内容;

在这里插入图片描述

原因也很简单,就是因为在node-exporter.go中引用了pprof包,我们要做的就是把引用删除,重新编译:

import (
	"fmt"
	stdlog "log"
	"net/http"
	_ "net/http/pprof" // 删除这一行
	"os"
	"os/user"
	"runtime"
	"sort"

	"github.com/prometheus/common/promlog"
	"github.com/prometheus/common/promlog/flag"

	"github.com/go-kit/log"
	"github.com/go-kit/log/level"
	"github.com/prometheus/client_golang/prometheus"
	promcollectors "github.com/prometheus/client_golang/prometheus/collectors"
	"github.com/prometheus/client_golang/prometheus/promhttp"
	"github.com/prometheus/common/version"
	"github.com/prometheus/exporter-toolkit/web"
	"github.com/prometheus/exporter-toolkit/web/kingpinflag"
	"github.com/prometheus/node_exporter/collector"
	kingpin "gopkg.in/alecthomas/kingpin.v2"
)

在这里插入图片描述
把二进制包替换掉原来的,然后重启一下,再访问/debug/pprof就会直接跳到Metrics主页了:

在这里插入图片描述

结语

这种操作就是关闭了pprof性能指标的采集,适用于大部分版本的node-exporter,其他类似的go程序也可以这样进行操作。

漏洞复现】Kubernetes PPROF内存泄漏漏洞(CVE-2019-11248)
晚风不及你
01-16 6527
Kubernetes(简称K8S)是Google在2014年开源的一个容器集群管理系统。它用于容器化应用程序的部署、扩展和管理,目标是让部署容器化应用简单且高效。
node-exporter pprof漏洞处理(ansible批量修复
最新发布
Bitile_孟波的博客
03-10 413
1.编译重新生成node-exporter修复包 2.ansible批量修复
漏洞修复node-exporter检测/debug/vars泄漏信息漏洞
Meepoljd的博客
07-18 4597
和之前的pprof类似,都是国产的安全工具扫出来的莫名其妙的东西,这次也是报的node-exporter存在这个漏洞,又归我处理。
go这么好用的pprof包却引发了安全漏洞?规避pprof自动注册默认url
orlobl的博客
12-06 6293
线上的产品 由于go pprof产生了漏洞,如何规避,这里的三个方法一定可以帮助你
node_exporter/debug/vars信息泄露漏洞,如何解决??
m0_58873792的博客
08-28 1486
node_exporter/debug/vars信息泄露漏洞,如何解决??
修复 pprof ---node_exproter访问漏洞(go-pprof-leak)
fanda-star
06-20 2667
* 在Go语言中,pprof和debug包是用来检测和避免goroutine泄漏,避免导致goroutine泄漏,进而消耗大量系统资源。不过对于安全而言确又存在一定风险,**
prometheus涉及pprof go信息泄露漏洞整改
abin的博客
09-06 7444
本文记录一下对系统渗透测试后反馈Prometheus涉及pprof go信息泄露,验证方法为http://ip:port/debug/pprof
视频汇聚/安防监控平台EasyCVR调试pprof接口信息泄露如何处理?
音视频流媒体技术
04-15 703
EasyCVR部分现场开放了pprof调试未关闭,导致出现调试端点信息的泄露。如果现场存在该情况请做如下处理。
node-exporter检测出来pprof调试信息漏洞
TheDreamMaster的博客
07-01 1807
引用Meepoljd的方法编译成功,链接:https://blog.csdn.net/Meepoljd/article/details/131120377。得到的node_exporter-1.6.0.linux-amd64.tar.gz分享给大家。
EasyCVR平台安全扫描提示Go pprof调试信息泄露的解决办法
TSINGSEE青犀视频官方技术博客
07-21 1899
EasyCVR部署简单、兼容性高,平台采用分布式部署,可对外提供统一的API接口,实现连接设备、连接数据、连接应用,便于第三方平台快速集成。
node-exporter-rule.yml
09-14
prometheus基于linux服务器的监控告警规则,部分进行了汉化
docker的node-exporter镜像
10-25
Node Exporter能够暴露系统统计信息,例如CPU使用率、内存使用情况、磁盘I/O、文件系统利用率等,这些信息对于系统管理员和运维工程师来说至关重要,它们可以帮助团队监测基础设施的健康状况和性能瓶颈。 为了使用...
prometheus-node-exporter-1.8.2
09-10
标题中提到的 "prometheus-node-exporter-1.8.2" 表示的是 node_exporter 的特定版本号。这个版本意味着我们正在讨论的 node_exporter 是在 1.8.2 版本的迭代中。版本号通常跟随语义化版本控制规则,也就是 MAJOR....
K8S监控宿主机资源node-exporter镜像及资源清单文件
12-27
DaemonSet确保在每个节点上运行一个且仅运行一个`node-exporter`实例,这是最常见的方式,因为它能确保所有节点都被覆盖,且不会因为Pod调度问题而丢失数据。资源清单文件(通常为.yaml格式)会定义`node-exporter`...
【Prometheus】node_exporter部署和漏洞修复---完美部署
youmiqianyue的博客
12-10 2999
node_exporter部署和相关漏洞修复
Go net/http/pprof 分析内存泄露及解决方法
rgc_520_zyl的博客
09-05 3009
使用pprof分析解决go语言中内存泄露的过程
pprof实战-内存泄漏
StaticAuto的博客
02-23 3468
场景 在一台服务器中运行了多个服务,在运行一段时间后(不足一天),发现某个进程占用了50%以上的内存资源,导致服务器异常 解决方案 首先在代码中开启pprof性能分析 runtime.SetBlockProfileRate(1) go func() { log.Println(http.ListenAndServe(":9080", nil)) }() 采用在web界面查看的方式,此处监听9080端口 打开浏览器访问web页面:http://ip:1080/debug/pprof/访问 /debu
使用pprof分析golang内存泄露问题
陈旭猿的博客
03-07 2138
pprof解决线上golang程序内存泄露问题
Go pprof 调试信息泄露漏洞
08-19
您好!对于Go pprof调试信息泄露漏洞,我可以给您一些基本的解释和建议。 Go语言的pprof工具是用于性能分析和调试的强大工具,但在某些情况下,它可能会泄漏敏感信息,例如堆栈跟踪和函数调用信息。这可能会导致安全风险,因为攻击者可以利用这些信息来了解您的应用程序的内部结构和运行情况。 为了防止pprof调试信息泄露漏洞,您可以考虑以下几点: 1. 保护pprof接口:默认情况下,pprof接口是公开的,任何人都可以访问。您可以通过在应用程序中配置身份验证和授权机制来限制对pprof接口的访问。例如,您可以使用基本身份验证或令牌验证来确保只有授权用户可以访问pprof接口。 2. 隐藏敏感信息:在pprof接口返回的数据中,可能包含敏感信息,如函数名称、文件路径等。您可以通过在编译时使用`-trimpath`选项来删除源代码路径,并使用`-gcflags="-N"`选项来禁用内联函数优化,以减少泄漏的敏感信息。 3. 限制pprof使用场景:如果您不需要在生产环境中使用pprof,可以考虑禁用pprof接口或仅在开发和测试环境中启用它。这样可以减少潜在的泄漏风险。 4. 定期更新和监控:及时更新您的Go语言版本和相关依赖,以获取最新的安全修复漏洞修复。同时,定期监控应用程序日志和网络流量,以检测任何异常活动和潜在的信息泄露。 请注意,这些只是一些基本的建议,具体措施需要根据您的应用程序和安全需求进行评估和实施。如果您发现了pprof调试信息泄露漏洞或其他安全问题,建议您及时报告给Go语言社区或相关漏洞报告平台,以便修复和改进。 希望以上信息能对您有所帮助!如果您有任何其他问题,请随时提问。
评论 15
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Meepoljd

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值