One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8388593 |
| Date de publication | 2023-09-27 15:19:30 (vue: 2023-09-27 17:07:04) |
| Titre | CVE-2023-41333 |
| Texte | CILIUM est une solution de réseautage, d'observabilité et de sécurité avec une voie de données basée sur EBPF.Un attaquant ayant la possibilité de créer ou de modifier les objets CiliumNetworkPolicy dans un espace de noms particulier est capable d'affecter le trafic sur un cluster de cilium entier, en contournant potentiellement l'application de stratégie dans d'autres espaces de noms.En utilisant un «endpointSelector» fabriqué qui utilise l'opérateur `Doexist» sur l'étiquette `réservée: init`, l'attaquant peut créer des politiques qui contournent les restrictions d'espace de noms et affectent l'ensemble du cluster de cilium.Cela comprend potentiellement l'autorisation ou le refus de tout le trafic.Cette attaque nécessite un accès au serveur API, comme décrit dans la section d'attaquant de serveur API Kubernetes du modèle de menace CILIUM.Ce problème a été résolu dans les versions CILIUM 1.14.2, 1.13.7 et 1.12.14.En tant que solution de contournement, un webhook d'admission peut être utilisé pour empêcher l'utilisation de «EndPointSelectors» qui utilisent l'opérateur «DoSnotexist» sur l'étiquette `réservée: INIT` dans CiliumNetworkPolicies.
Cilium is a networking, observability, and security solution with an eBPF-based dataplane. An attacker with the ability to create or modify CiliumNetworkPolicy objects in a particular namespace is able to affect traffic on an entire Cilium cluster, potentially bypassing policy enforcement in other namespaces. By using a crafted `endpointSelector` that uses the `DoesNotExist` operator on the `reserved:init` label, the attacker can create policies that bypass namespace restrictions and affect the entire Cilium cluster. This includes potentially allowing or denying all traffic. This attack requires API server access, as described in the Kubernetes API Server Attacker section of the Cilium Threat Model. This issue has been resolved in Cilium versions 1.14.2, 1.13.7, and 1.12.14. As a workaround an admission webhook can be used to prevent the use of `endpointSelectors` that use the `DoesNotExist` operator on the `reserved:init` label in CiliumNetworkPolicies. |
| Envoyé | Oui |
| Condensat | 2023 41333 `doesnotexist` `endpointselector` `endpointselectors` `reserved:init` ability able access admission affect all allowing api attack attacker based been bypass bypassing can cilium ciliumnetworkpolicies ciliumnetworkpolicy cluster crafted create cve dataplane denying described ebpf enforcement entire has includes issue kubernetes label model modify namespace namespaces networking objects observability operator other particular policies policy potentially prevent requires resolved restrictions section security server solution threat traffic use used uses using versions webhook workaround |
| Tags | Threat |
| Stories | Uber |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.