One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8345959 |
| Date de publication | 2023-06-15 20:15:09 (vue: 2023-06-15 23:06:52) |
| Titre | CVE-2023-34242 |
| Texte | CILIUM est une solution de réseautage, d'observabilité et de sécurité avec une voie de données basée sur EBPF.Avant la version 1.13.4, lorsque l'API de la passerelle est activée dans CILIUM, l'absence de contrôle sur l'espace de noms dans lequel une référence est créée pourrait entraîner le cil de gagner involontairement la visibilité des secrets (y compris des certificats) et des services à travers les espaces de noms.Un attaquant sur un cluster affecté peut tirer parti de ce problème pour utiliser des secrets de cluster qui ne devraient pas être visibles pour eux, ou communiquer avec les services auxquels ils ne devraient pas avoir accès.La fonctionnalité de l'API de passerelle est désactivée par défaut.Cette vulnérabilité est fixée dans la libération de cilium 1.13.4.En tant que solution de contournement, restreignez la création de ressources «ReferenceGrant» aux utilisateurs d'administration en utilisant Kubernetes RBAC.
Cilium is a networking, observability, and security solution with an eBPF-based dataplane. Prior to version 1.13.4, when Gateway API is enabled in Cilium, the absence of a check on the namespace in which a ReferenceGrant is created could result in Cilium unintentionally gaining visibility of secrets (including certificates) and services across namespaces. An attacker on an affected cluster can leverage this issue to use cluster secrets that should not be visible to them, or communicate with services that they should not have access to. Gateway API functionality is disabled by default. This vulnerability is fixed in Cilium release 1.13.4. As a workaround, restrict the creation of `ReferenceGrant` resources to admin users by using Kubernetes RBAC. |
| Envoyé | Oui |
| Condensat | 2023 34242 `referencegrant` absence access across admin affected api attacker based can certificates check cilium cluster communicate could created creation cve dataplane default disabled ebpf enabled fixed functionality gaining gateway have including issue kubernetes leverage namespace namespaces networking not observability prior rbac referencegrant release resources restrict result secrets security services should solution them unintentionally use users using version visibility visible vulnerability when which workaround |
| Tags | Vulnerability |
| Stories | Uber |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.