One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8341311 |
| Date de publication | 2023-06-01 17:15:10 (vue: 2023-06-01 19:08:00) |
| Titre | CVE-2023-34091 |
| Texte | Kyverno est un moteur politique conçu pour Kubernetes.Dans les versions de Kyverno avant 1.10.0, les ressources qui ont le champ de «Deletiontimestamp» défini peuvent contourner, générer ou muter des politiques existantes, même dans les cas où le champ «ValidationFailureAction» est défini sur `Enforce».Cette situation se produit car les ressources en attente de suppression étaient consciemment exemptées par Kyverno, comme moyen de réduire la charge de traitement, car les politiques ne sont généralement pas appliquées aux objets qui sont supprimés.Cependant, cela pourrait potentiellement permettre à un utilisateur malveillant de tirer parti de la fonctionnalité Finalizers de Kubernetes en définissant un finalizer qui provoque le serveur API de Kubernetes pour définir le «Deletiontimestamp» et ne pas terminer l'opération de suppression pour explicitement pour contourner une politique de Kyverno à explicitement pour contourner une politique de Kyverno en.Notez que cela ne s'applique pas aux pods de Kubernetes, mais, par exemple, une ressource de service Kubernetes peut être manipulée à l'aide d'un finaliseur indéfini pour contourner les politiques.Ceci est résolu dans Kyverno 1.10.0.Il n'y a pas de solution de contournement connue.
Kyverno is a policy engine designed for Kubernetes. In versions of Kyverno prior to 1.10.0, resources which have the `deletionTimestamp` field defined can bypass validate, generate, or mutate-existing policies, even in cases where the `validationFailureAction` field is set to `Enforce`. This situation occurs as resources pending deletion were being consciously exempted by Kyverno, as a way to reduce processing load as policies are typically not applied to objects which are being deleted. However, this could potentially result in allowing a malicious user to leverage the Kubernetes finalizers feature by setting a finalizer which causes the Kubernetes API server to set the `deletionTimestamp` and then not completing the delete operation as a way to explicitly to bypass a Kyverno policy. Note that this is not applicable to Kubernetes Pods but, as an example, a Kubernetes Service resource can be manipulated using an indefinite finalizer to bypass policies. This is resolved in Kyverno 1.10.0. There is no known workaround. |
| Envoyé | Oui |
| Condensat | 2023 34091 `deletiontimestamp` `enforce` `validationfailureaction` allowing api applicable applied are being but bypass can cases causes completing consciously could cve defined delete deleted deletion designed engine even example exempted existing explicitly feature field finalizer finalizers generate have however indefinite known kubernetes kyverno leverage load malicious manipulated mutate not note objects occurs operation pending pods policies policy potentially prior processing reduce resolved resource resources result server service set setting situation then typically user using validate versions way where which workaround |
| Tags | |
| Stories | Uber |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.