首页 科技内容详情
澳5开奖网(www.a55555.net):Argo CD漏洞泄露Kubernetes敏感信息

澳5开奖网(www.a55555.net):Argo CD漏洞泄露Kubernetes敏感信息

分类:科技

标签: # 漏洞

网址:

SEO查询: 爱站网 站长工具

点击直达

Argo CD漏洞可以从Kubernetes APP泄露敏感信息。

Argo CD是一个主流的、开源、持续交付(Continuous Delivery)平台,被广泛应用于Kubernetes的声明性GitOps连续交付。

漏洞概述

Apiiro安全研究人员在Argo CD平台中发现了一个0 day漏洞,漏洞CVE变化为CVE-2022-24348,CVSS 评分为7.7分。该漏洞是一个路径遍历漏洞,攻击者利用该漏洞可以实现权限提升、信息泄露和进一步攻击。

 

攻击流

为构造新的部署方法,用户可以定义一个包含以下内的Git库或Kubernetes Helm Chart文件:

部署适当Kubernetes配置所需的元数据和信息;

动态更新云配置。

,

澳5开奖网www.a55555.net)是澳洲幸运5彩票官方网站,开放澳洲幸运5彩票会员开户、澳洲幸运5彩票代理开户、澳洲幸运5彩票线上投注、澳洲幸运5实时开奖等服务的平台。

,

Helm Chart是一个可以嵌入不同域来构造部署应用所需的资源和配置的YAML文件。

有漏洞的应用中包含许多类型的数据,其中一个包含文件名和其他文件的自包含应用部分的相对路径。文件保存在特定的服务器或名为argocd-reposerver的pod中。由于没有文件等级的强隔离,所以文件路径遍历机制是文件安全的关键。该机制的内在原理位于util/security/path_traversal.go 中源代码的单个文件。

成功攻击的先决条件是有权限创建或更新应用,已知或猜测含有有效YAML文件的路径。满足这些需求就可以创建恶意Helm graph,并把YAML作为值文件,最终可以获取原先不可访问的数据的权限。

包含valueFiles域的Argo CD mainfest文件示例如下:


漏洞修复

Argo CD在2.3.0-rc4版本发布了包含CVE-2022-24348漏洞补丁的安全更新。研究人员建议用户尽快升级到新版本。

更多技术细节参见:

https://apiiro.com/blog/malicious-kubernetes-helm-charts-can-be-used-to-steal-sensitive-information-from-argo-cd-deployments/

https://github.com/argoproj/argo-cd/security/advisories/GHSA-63qx-x74g-jcr7

本文翻译自:https://www.bleepingcomputer.com/news/security/argo-cd-vulnerability-leaks-sensitive-info-from-kubernetes-apps/
  • allbet手机版下载 @回复Ta

    2022-03-15 00:10:16 

    Allbet代理欢迎进入Allbet代理(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。真心推荐大家看,很好

  • 皇冠代理手机端(www.hg108.vip) @回复Ta

    2022-09-07 00:22:05 

    usdt自动充提菜宝钱包www.caibao.it是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。文笔也太好了吧

发布评论