node_exporter/debug/vars信息泄露漏洞,如何解决??

于 2024-08-28 09:43:51 发布
阅读量416 收藏 1
点赞数 7
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58873792/article/details/141627434
版权

背景:

公司最近对生产环境进行漏洞扫描工作,其中扫出节点上边的node_exporter有/debug/vars信息泄露漏洞,一时很懵,心中🐎娘,事情好多啊,和前几天的的pprof漏洞很像,还被定级为中危,真的服了,通过浏览器访问漏洞的接口发现可以看到一些运行时的信息,下面开始漏洞修复工作,下边附图。

因为个人不太懂golang语言,所以在网上查了好多的资料,看着好像是说node_exporter本身是没有这个接口的是因为导入了expvar包,会自动产生这个接口

修复步骤:

看了一下node-exporter引用了github.com/prometheus/client_golang/prometheus这个包,这个包中的expvar_collector.go又引了expvar所以我们需要去把这个删除掉。

1. 我们需要先把依赖拉下来

#先进到项目的目录中
cd  node_exporter
go mod vendor
#执行完会出现一个vendor的依赖包目录,如下图黄框中。

2. 然后需要把有漏洞的依赖包删除掉

#现在我们需要将目录中的两个包删除掉,上方红框中的。
rm -rf vendor/github.com/prometheus/client_golang/prometheus/expvar_collector.go
rm -rf vendor/github.com/prometheus/client_golang/prometheus/collectors/expvar_collector.go

3.重新编译

make build

漏洞解决,哦耶!!!

m0_58873792
关注
K8s(十二):监控与报警(163邮箱+钉钉)-Prometheus + Grafana + Alertmanager(超详细)
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-08 1万+
🔴 K8s(十二):监控与报警(163邮箱+钉钉)-Prometheus + Grafana + Alertmanager(超详细)
K8S主机资源监控node-exporter监控模板
01-04
原文链接:https://blog.csdn.net/m0_37814112/article/details/122170537
漏洞修复】node-exporter被检测/debug/vars泄漏信息漏洞
Meepoljd的博客
07-18 3440
和之前的pprof类似,都是国产的安全工具扫出来的莫名其妙的东西,这次也是报的node-exporter存在这个漏洞,又归我处理。
漏洞修复】node-exporter被检测出来pprof调试信息泄露漏洞
热门推荐
Meepoljd的博客
06-09 1万+
大概意思是开发者并没有发现pprof会泄漏啥信息,issue提出者使用的是gosec工具做的静态安全扫描,可能产生很多编译期间的误报,然后社区达成一致的结论是和prometheus社区保持一致,转而使用codeql工具。如果实在要解决就按照本文章进行
[DEBUG]内存泄露调试
Shallway
04-07 3282
呼。。又是一次痛苦的调试经历,赶紧记点心得吧。虽然是一个很傻X的失误,但是经历的过程还是收获蛮多的。开始之前,顺便透露一下,关于shero,我已经决定做一个单机开源RPG了,最迟在5月发布吧,最终效果相信不会令大家失望。。:) 好了,起因是这样的,因为集成了CEGUI,界面基本搭好时,却发现有严重的内存泄露,至少当时我是这样认为的,然后便开始尝试各种办法,没有结果。其实最后才发现,原因很简单,我自己的项目里加入了这个设置: _CrtSetDbgFlag(_CRTDBG_ALLOC_MEM_DF | _C
修复 pprof ---node_exproter访问漏洞(go-pprof-leak)
最新发布
fanda-star
06-20 1366
* 在Go语言中,pprof和debug包是用来检测和避免goroutine泄漏,避免导致goroutine泄漏,进而消耗大量系统资源。不过对于安全而言确又存在一定风险,**
node-exporter被检测出来pprof调试信息漏洞
TheDreamMaster的博客
07-01 1583
引用Meepoljd的方法编译成功,链接:https://blog.csdn.net/Meepoljd/article/details/131120377。得到的node_exporter-1.6.0.linux-amd64.tar.gz分享给大家。
关于node_exporter收集服务器信息,传送给prometheus,时常断连,报错connect:connection refused
weixin_42963678的博客
04-07 1745
上报错图 在我搭建完服务之后,时常出现这种问题,断连 然后去服务器上重启进程之后,就恢复了 于是我开始排查到底哪里出问题 最后发现,原来是因为我自己很傻逼,linux基础知识不到位 我的启动命令 ./node_exporter & &这个命令是后台挂起,shell关闭了,进程就会停止。而我们的服务器限制了连接时间,所以我的shell到了一定时间就会被断开,于是node_exporter就一起被停掉了。 我是时候找个厂上班了 ...
Goby 漏洞更新 |ThinkPHP Debug 模式日志信息泄露漏洞
m0_46699477的博客
04-21 1335
ThinkPHP 是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架。ThinkPHP Debug 模式存在日志信息泄露漏洞,在开启Debug的情况下会在Runtime目录下生成日志,攻击者通过构造特殊URL地址,读取日志敏感信息
Prometheus、Node_Exporter、PushGateway的使用
weixin_45880055的博客
09-30 6938
prometheus是基于T_S(timeseries)的数据库,对系统时间的准确性要求很高,必须保证主机时间的实时同步。所以,安装prometheus之前,须先进行ntp时间同步 [root@test ~]# yum install ntpdate -y [root@test ~]# ntpdate ntp1.aliyun.com [root@test ~]# hwclock -w [root@test ~]# crontab -e * * * * * /usr/sbin/ntpdate ntp1.ali
浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤)
10-19
主要介绍了浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java技术专家【prometheus】5.5 node_exporter采集原理简介
大壮
03-13 59
java技术专家【prometheus】5.5 node_exporter采集原理简介
java技术专家【prometheus】5.6 node_exporter二开新增自定义模块
大壮
03-13 118
java技术专家【prometheus】5.6 node_exporter二开新增自定义模块
prometheus如何实现Linux主机的监控
支棱起来
11-08 4734
Prometheus 主要用于监控 web 服务,如果需要监控Linux主机,则需要在本机上安装 node exporterNode exporter 主要用于暴露 metrics 给 Prometheus 。 1、首先在prometheus官网下载 node_exporter-0.17.0-rc.0.linux-amd64.tar.gz 的压缩包。官网地址为: https://prometh...
内存泄漏、多线程Debug技巧总结
不定期更新系统使用、编程小技巧,哔哩哔哩账号:https://space.bilibili.com/399455629,欢迎关注
09-05 946
一些博主常用的Debug技巧
最新系统漏洞--Google Golang竞争条件漏洞
weixin_48555088的博客
03-24 5474
最新系统漏洞2022年3月22日 受影响系统: Google Golang >= 1.16.0 Google Golang > 1.15.12 Google Golang <= 1.16.5 描述: CVE(CAN) ID: CVE-2021-3622 Google Golang是美国谷歌(Google)公司的一种静态强类型、编译型语言。Go的语法接近C语言,但对于变量的声明有所不同。Go支持垃圾回收功能。 Google Golang存在竞争条件漏洞。该漏洞源于程序在处理ErrAbortH
InfluxDB 未授权访问 漏洞复现
Senimo
07-15 5188
InfluxDB 未授权访问漏洞一、漏洞描述二、漏洞影响三、漏洞复现1、环境搭建2、漏洞复现四、漏洞POC参考链接 一、漏洞描述 InfluxDB 是一个开源分布式时序、时间和指标数据库,使用 Go 语言编写,无需外部依赖。其设计目标是实现分布式和水平伸缩扩展,是 InfluxData 的核心产品。其使用 jwt 作为鉴权方式。在用户开启了认证,但未设置参数 shared-secret 的情况下,jwt 的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在 InfluxDB 中执行SQL语句。 二、漏洞
influxdb基础---http参考
约会远行的专栏
09-13 6638
基于influxdb1.6.2、centOS influxdb HTTP API提供了与数据库交互的简单方法。它使用HTTP响应代码、HTTP认证、JWT令牌和基本身份验证,并以JSON形式返回响应。 InfluxDB HTTP地址参考 地址路径 描述 /debug/pprof /debug/pprof为故障诊断生成概要文件 /debug/requ...
Failed at step EXEC spawning /opt/prometheus/node_exporter/node_exporter: Exec format error
06-10
这个错误通常是因为二进制文件的格式不正确,可能是因为二进制文件不是针对当前运行的系统架构编译的,或者文件损坏。您可以尝试重新下载并安装 node_exporter,确保您选择了正确的二进制文件,或者检查您的系统架构是否与二进制文件匹配。您也可以尝试在命令行中运行 "file /opt/prometheus/node_exporter/node_exporter" 命令,以查看二进制文件的类型和架构。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值