One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8388489 |
| Date de publication | 2023-09-27 15:18:55 (vue: 2023-09-27 17:07:02) |
| Titre | CVE-2023-39347 |
| Texte | CILIUM est une solution de réseautage, d'observabilité et de sécurité avec une voie de données basée sur EBPF.Un attaquant ayant la possibilité de mettre à jour les étiquettes POD peut amener le CILIO à appliquer des politiques de réseau incorrectes.Ce problème se pose en raison du fait que sur la mise à jour du pod, Cilium utilise incorrectement les étiquettes POD fournies par l'utilisateur pour sélectionner les politiques qui s'appliquent à la charge de travail en question.Cela peut affecter les stratégies de réseau CILIUM qui utilisent l'espace de noms, le compte de service ou les constructions de cluster pour restreindre le trafic, les stratégies de réseau de cluster à l'échelle de cilium qui utilisent des étiquettes d'espace de noms CILIUM pour sélectionner les stratégies de réseau POD et Kubernetes.Des noms de construction inexistants peuvent être fournis, ce qui contourne toutes les stratégies de réseau applicables à la construction.Par exemple, fournir à un pod avec un espace de noms inexistant comme valeur de l'étiquette `io.kubernetes.pod.namespace» ne se traduit par aucune des coliques de noms de noms de noms de noms en question au pod en question.Cette attaque nécessite que l'attaquant ait un accès au serveur API Kubernetes, comme décrit dans le modèle de menace CILIUM.Ce problème a été résolu dans: CILIUM Versions 1.14.2, 1.13.7 et 1.12.14.Il est conseillé aux utilisateurs de mettre à niveau.En tant que solution de contournement, un webhook d'admission peut être utilisé pour empêcher les mises à jour de l'étiquette POD des `K8S: io.kubernetes.pod.namespace` et` io.cilum.k8s.policy. * `Touches.
Cilium is a networking, observability, and security solution with an eBPF-based dataplane. An attacker with the ability to update pod labels can cause Cilium to apply incorrect network policies. This issue arises due to the fact that on pod update, Cilium incorrectly uses user-provided pod labels to select the policies which apply to the workload in question. This can affect Cilium network policies that use the namespace, service account or cluster constructs to restrict traffic, Cilium clusterwide network policies that use Cilium namespace labels to select the Pod and Kubernetes network policies. Non-existent construct names can be provided, which bypass all network policies applicable to the construct. For example, providing a pod with a non-existent namespace as the value of the `io.kubernetes.pod.namespace` label results in none of the namespaced CiliumNetworkPolicies applying to the pod in question. This attack requires the attacker to have Kubernetes API Server access, as described in the Cilium Threat Model. This issue has been resolved in: Cilium versions 1.14.2, 1.13.7, and 1.12.14. Users are advised to upgrade. As a workaround an admission webhook can be used to prevent pod label updates to the `k8s:io.kubernetes.pod.namespace` and `io.cilium.k8s.policy.*` keys. |
| Envoyé | Oui |
| Condensat | 2023 39347 `io `k8s:io ability access account admission advised affect all api applicable apply applying are arises attack attacker based been bypass can cause cilium ciliumnetworkpolicies cluster clusterwide construct constructs cve dataplane described due ebpf example existent fact has have in: incorrect incorrectly issue k8s keys kubernetes label labels model names namespace namespace` namespaced network networking non none observability pod policies policy prevent provided providing question requires resolved restrict results security select server service solution threat traffic update updates upgrade use used user users uses value versions webhook which workaround workload |
| Tags | Threat |
| Stories | Uber |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.