Kubernetes的开源GitOps 平台 Argo CD 中存在严重的提权漏洞

最新推荐文章于 2024-04-27 08:37:32 发布
最新推荐文章于 2024-04-27 08:37:32 发布
阅读量229 收藏
点赞数
文章标签: java linux 安全 docker kubernetes
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247511966&idx=2&sn=4d118084132be27daf3b30f265d2a43a&chksm=ea949ef4dde317e2288e7a4fe13293b18d1063fa90b1f31ab148d05aa255b0f652281b244c1b&scene=126&&sessionid=0
版权

d7aaa178c079ab682d07e5b4cabe3aed.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Kubernetes 的持续交付工具Argo CD 修复了一个严重漏洞,可导致攻击者伪造 JSON Web Tokens (JWTs) 并成为管理员。

该提权漏洞产生的原因在于,开源的GitOps 平台 Argo CD 在匿名访问权限启用的前提下错误地信任了不合法的JSON JWTs。不过,对用户而言的好消息是,虽然该bug的严重性程度为最高分10分,但默认情况下匿名访问权限是禁用的。

02f704a0fd1b756d28c16c48d62ff0af.png

01

集群控制

GitHub 上的安全公告指出,如未认证恶意人员将特殊构造的JWT发送给易受攻击的程序,则可“在集群上获得的权限和Argo CD 实例上默认的集群管理员权限相同。这将导致攻击者创建、操纵并删除集群上的任何资源。“

此外,攻击者“可通过提升后的权限部署恶意的工作载荷渗透数据,从而绕过任何由 Argo CD API 执行的敏感数据的编校。”这意味着,即使管理员角色被禁用,攻击者提升至管理员权限不受影响。

ab6dc56d2dc69b2dea77d65b7fa252e1.png

02

软件更新

该漏洞影响版本 1.4.0至2.1.14(包含)、2.2.8(包含)和2.3.3(包含),已在版本2.3.4、2.2.9和2.1.15中修复。

安全公告指出,在用户能够应用更新前,应禁用匿名访问权限。

尽管如此,用户应该“尽快修复,不管实例中是否启用了匿名访问权限。”

用户可通过在名称空间查询argocd-cm ConfigMap,查询匿名访问权限是否启用。

该漏洞是由伦敦技术公司 G-Research 的研究员Mark Pim 和 Andrzej Hajto 发现的。该更新还解决了一个中危漏洞(CVSS 4.3),可导致拥有仓库的用户将权限写入,泄露 Argo 仓库服务器的敏感文件。

该漏洞最初是在3月发布的 Trail of Bits 审计结果的一部分发现的。在补丁发布前,软件工程师 Michael Crenshaw 独立重新发现该漏洞。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

在线阅读版:《2021中国软件供应链安全分析报告》全文

Kubernetes 的CRI-O容器引擎中存在严重漏洞

谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍

Linux 内核漏洞可用于逃逸 Kubernetes 容器

NSA和CISA 联合发布Kubernetes 安全加固指南

开源容器原生工作流引擎 Argo Workflows 可被用于攻击 K8s 集群

原文链接

https://portswigger.net/daily-swig/critical-argo-cd-vulnerability-could-allow-attackers-admin-privileges

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

91d2ecdfc6a463785a2a48d02ff1979e.png

60fddc0b6dea797841d188c572df3e16.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   b53b2b8ee4d1a7a01a4ce02e12314a2d.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
API NEWS | 三个Argo CD API漏洞
starcross_2022的博客
05-31 126
同时,通过使用这些特定的工具和技术,可以更好地发现和解决API存在安全漏洞或问题,确保API系统稳定、可靠、安全。来自Curity的分享,是一篇关于分布式标识的文章。星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。对于每个API网关的维护和更新都需要进行独立的安全审计和更新,这可能会导致遗漏漏洞或错误配置的情况出现,从而降低系统的整体安全性。
GitOps and Kubernetes Continuous Deployment with Argo CD, Jenkin
03-07
GitOps and Kubernetes Continuous Deployment with Argo CD, Jenkins X, and Flux (Billy Yuen, Alexander Matyushentsev etc.)
GitOps:Kubernetes多集群环境下的高效CICD实践
weixin_34275734的博客
04-18 290
为了解决传统应用升级缓慢、架构臃肿、不能快速迭代、故障不能快速定位、问题无法快速解决等问题,云原生这一概念横空出世。云原生可以改进应用开发的效率,改变企业的组织结构,甚至会在文化层面上直接影响一个公司的决策,可以说,云时代的云原生应用大势已来。在容器领域内,Kubernetes已经成为了容器编排和管理的社区标准。它通过把应用服务抽象成多种资源类型,比如D...
五分钟带你搞懂 GitOps 是什么?
最新发布
easylife206的专栏
04-27 80
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 LinuxGitOps是一组使用 Git 作为唯一真实来源来管理基础设施和应用程序配置的实践方法,以代码形式交付基础设施。换句话说——基础设施的版本控制方式。谁负责?DevOps 团队应该负责实施 GitOps 实践,而常规开发人员应积极参与该过程。DevOps 团队负责建立和维护 GitOps 工作流程,通过 Git 有效...
CVE 2022-24348,Argo CD 高危漏洞及其对 Kubernetes 的影响
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
02-07 763
文章目录关于 Argo CD漏洞该怎么办?修复翻译关注 来自 Apiiro 的研究员 Moshe Zioni 在流行的开源 CD 平台 Argo CD 发现了一个主要的软件供应链关键漏洞CVE-2022-24348,利用它,攻击者可以从其他应用程序获取敏感信息,例如凭据、Secrets、API Key。这反过来又会导致特权升级、横向移动和信息泄露。 由于此漏洞严重性很高,我们向Kubescape添加了一个特殊控件C-0081,用于识别您的部署是否存在易受攻击的 Argo CD 版本。 使用以下命令运行
Apache Subversion Use-After-Free漏洞(CVE-2022-24070)
murphysec的博客
04-19 580
CVE-2022-24070漏洞会造成Apache Subversion下处理请求的 HTTPD 工作进程崩溃,进而导致拒绝服务,目前该漏洞已修复,建议受影响用户更新到安全版本,或下载官方补丁:https://subversion.apache.org/security/CVE-2022-24070-advisory.txt 编号       CVE-2022-24070                      标题 Apache Subversion Use-After-Free漏洞
必须得谈谈Kubernetes GitOps
k8scaptain的博客
02-08 207
GitOpsKubernetes崛起期间发生的最具影响力的进化之一。
argocd-commenter:Kubernetes控制器通知ArgoCD同步状态以请求请求注释
02-17
argocd注释器 这是一个Kubernetes控制器,用于在Argo CD执行同步操作时添加注释以提取请求。 入门 先决条件 Argo CD正在Kubernetes集群运行。 设置 部署清单: kubectl apply -f ...
ansible_kubernetes_argocd:Ansible剧本,用于在Kubernetes集群上部署ArgoCD
02-05
ansible_kubernetes_argocd:Ansible剧本,用于在Kubernetes集群上部署ArgoCD
argocd-tutorial:开始使用适用于 https 的 ArgoCDGitOps
07-24
KubernetesArgoCDGitOps 教程 概述 观众体验水平 初学者 平均完成时间 45分钟 是 Kubernetes 的声明性 GitOps 持续交付工具。 它遵循使用 Git 存储库作为定义所需应用程序状态的真实来源的模式。 它在...
argocd-kustomize-tutorial:使用ArgoCD,Kustomize,Github Actions和Kubernetes(种类)说明GitOps工作流程的教程
02-17
argocd-kustomize-tutorial:使用ArgoCD,Kustomize,Github Actions和Kubernetes(种类)说明GitOps工作流程的教程
Authing 入选开源 GitOps 产业联盟
Authing的博客
07-20 252
近日,经开源GitOps产业联盟理事会审核认证,Authing身份云正式被认证为GitOps产业联盟会员。在未来,Authing身份云将与联盟其他成员积极合作,推动开源技术的落地,探索身份解决方案的更多场景化应用,营造对客户持续服务的合作共赢开源生态。...
云原生实践(二):Kubernetes GitOps 动手实验
YongMa的博客
08-31 715
GitOps是一种实现持续交付的模型,它的核心思想是将应用系统的声明性基础架构和应用程序存放在Git的版本控制库
线上分享 | GitOps 助力开源神经搜索框架开发
Jina AI 的博客
04-15 421
4 月 23 日 (下周六),加入 Jina AI 联合创始人兼 CTO 王楠的线上分享,共同探讨 GitOps 助力开源神经搜索框架开发。3 月初,开源 GitOps 产业联盟生态图景 1.0 正式发布,Jina AI 成为人工智能行业的会员单位。1.0 版本包含 45 家会员单位涉及开发运维、架构、云计算、人工智能能 9 大方向图片源自开源GitOps产业联盟公众号开...
扒一扒过去一年K8S高危漏洞都有哪些?
力哥讲技术
03-13 1214
在过去的一年里,Kubernetes继续稳固其在关键基础设施领域的地位,成为无论是小型还是大型组织都广受欢迎的选择。然而,随着更多开发人员将Kubernetes部署与其他云原生组件相结合,构建出更加完善的工作系统时,这也使得Kubernetes更容易遭受攻击。更多的组件和更加复杂的基础架构也增加了易受攻击的范围,这是需要我们运维人员关注的。根据 Red Hat 的2022 年 Kubernetes 安全状况报告:https://www.redhat.com/rhdc/managed-files/cl-sta
KubernetesGitOps的血与泪
Docker的专栏
05-25 470
Kubernetes能够帮助管理你的计算工作负载,而你无需关心它们运行在哪台物理服务器上。GitOps能够让你以版本控制的方式去管理这些工作任务,通常是把它们放在心化的代码仓库。比起...
关于Kubernetes CVE-2018-1002105 提权漏洞的修复公告
weixin_34254823的博客
12-05 461
近日Kubernetes社区发现安全漏洞 CVE-2018-1002105。通过伪造请求,Kubernetes用户可以在已建立的API Server连接上提权访问后端服务,阿里云容器服务已第一时间修复,请登录阿里云控制台升级您的Kubernetes版本。 漏洞详细介绍:https://github.com/kubernetes/kubernetes/is...
Kuberentes 上 GitOps 最佳实践
weixin_38320674的博客
10-24 278
▲点击上方"DevOps和k8s全栈技术"关注公众号今天 Kuberentes 已经成为IT基础设施的重要玩家,容器编排领域的事实标准。然而同众多企业接触发现,企业有很高的意愿采用 Kuberentes 管理工作负载,并且已有大量的企业已经将 Kuberentes 用于生产环境。但如何对多套不同阶段的 Kuberentes 集群来做持续部署,做到高安全性、权限分离、可审计、保证业务团...
git 可视化工具_最全的GitOps工具选型,30+款工具随你挑
weixin_39854778的博客
11-30 599
为了帮助大家开启 GitOps 之旅,本文介绍了 30 多种工具,如果你要想应用 GitOps,我们建议你使用这些工具。GitOps 借鉴了 DevOps 方法论的自动化方面,是一种旨在通过软件开发和部署来简化基础设施管理和云操作的方法。虽然许多人认为 GitOps 可以替代 DevOps,但事实并非如此,该方法仅专注于实现 DevOps 方法论的自动化这一个方面。具体来说,GitOps 使用 ...
argocd怎么添加skywalking
05-25
3. 将ArgoCDKubernetes集群的SkyWalking服务进行关联,并将应用程序部署到该集群。 4. 确认SkyWalking服务已经成功部署并可以正常运行。 需要注意的是,以上步骤可能因实际环境而有所不同,具体操作建议参考...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值