What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-11-06 19:15:09 | CVE-2023-46254 (lien direct) | Capsule-Proxy est un proxy inverse du cadre multi-tension de capsule Kubernetes.Un bug dans le réflecteur de binding de rôle utilisé par «capsule-proxy» donne aux propriétaires de locataires de service.Le droit de répertorier les espaces de noms d'autres locataires soutenus par le même type de propriétaire et le même nom.Par exemple, considérez deux locataires «solaire» et «vent».Locataire «solaire», détenu par un service de service nommé «locataire-propriétaire» dans l'espace de noms «solaire».Locataire «Wind», appartenant à un service de service nommé «locataire-propriétaire» dans l'espace de noms «vent».Le propriétaire du locataire «solaire» pourrait énumérer les espaces de noms du locataire «vent» et vice-versa, bien que ce ne soit pas correct.Le bug introduit une vulnérabilité d'exfiltration car permet la liste des ressources d'espace de noms d'autres locataires, bien que dans certaines conditions spécifiques: 1. `capsule-proxy` s'exécute avec le` --disable-caching = false` (valeur par défaut: `false`) et 2. Les propriétaires de locataires sont ServiceAccount, avec le même nom de ressource, mais dans des espaces de noms différents.Cette vulnérabilité n'autorise aucune escalade de privilège sur les ressources spécialisées dans l'espace de noms de locataire, car le RBAC de Kubernetes applique cela.Ce problème a été résolu dans la version 0.4.5.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
capsule-proxy is a reverse proxy for Capsule kubernetes multi-tenancy framework. A bug in the RoleBinding reflector used by `capsule-proxy` gives ServiceAccount tenant owners the right to list Namespaces of other tenants backed by the same owner kind and name. For example consider two tenants `solar` and `wind`. Tenant `solar`, owned by a ServiceAccount named `tenant-owner` in the Namespace `solar`. Tenant `wind`, owned by a ServiceAccount named `tenant-owner` in the Namespace `wind`. The Tenant owner `solar` would be able to list the namespaces of the Tenant `wind` and vice-versa, although this is not correct. The bug introduces an exfiltration vulnerability since allows the listing of Namespace resources of other Tenants, although just in some specific conditions: 1. `capsule-proxy` runs with the `--disable-caching=false` (default value: `false`) and 2. Tenant owners are ServiceAccount, with the same resource name, but in different Namespaces. This vulnerability doesn\'t allow any privilege escalation on the outer tenant Namespace-scoped resources, since the Kubernetes RBAC is enforcing this. This issue has been addressed in version 0.4.5. Users are advised to upgrade. There are no known workarounds for this vulnerability. |
Vulnerability | Uber | |
|
2023-11-03 18:15:08 | CVE-2023-3893 (lien direct) | Un problème de sécurité a été découvert à Kubernetes où un utilisateur qui peut
Créer des pods sur les nœuds Windows exécutant Kubernetes-Csi-Proxy peut être capable de
Escaladez les privilèges d'administration sur ces nœuds.Les clusters Kubernetes sont
affecté uniquement s'ils incluent les nœuds Windows en cours d'exécution
Kubernetes-Csi-Proxy.
A security issue was discovered in Kubernetes where a user that can create pods on Windows nodes running kubernetes-csi-proxy may be able to escalate to admin privileges on those nodes. Kubernetes clusters are only affected if they include Windows nodes running kubernetes-csi-proxy. |
Uber | ||
|
2023-11-02 03:15:10 | CVE-2023-5408 (lien direct) | Une faille d'escalade de privilège a été trouvée dans le plugin d'admission de restriction du nœud du serveur API Kubernetes d'OpenShift.Un attaquant distant qui modifie l'étiquette des rôles de nœud pourrait diriger les charges de travail du plan de contrôle et etcd nœuds sur différents nœuds de travailleur et obtenir un accès plus large au cluster.
A privilege escalation flaw was found in the node restriction admission plugin of the kubernetes api server of OpenShift. A remote attacker who modifies the node role label could steer workloads from the control plane and etcd nodes onto different worker nodes and gain broader access to the cluster. |
Uber | ||
|
2023-10-31 21:15:08 | CVE-2023-3676 (lien direct) | Un problème de sécurité a été découvert à Kubernetes où un utilisateur
qui peut créer des pods sur les nœuds Windows peut être en mesure de dégénérer pour administrer
privilèges sur ces nœuds.Les grappes de Kubernetes ne sont affectées que si elles
Incluez les nœuds Windows.
A security issue was discovered in Kubernetes where a user that can create pods on Windows nodes may be able to escalate to admin privileges on those nodes. Kubernetes clusters are only affected if they include Windows nodes. |
Uber | ||
|
2023-10-31 21:15:08 | CVE-2023-3955 (lien direct) | Un problème de sécurité a été découvert à Kubernetes où un utilisateur
qui peut créer des pods sur les nœuds Windows peut être en mesure de dégénérer pour administrer
privilèges sur ces nœuds.Les grappes de Kubernetes ne sont affectées que si elles
Incluez les nœuds Windows.
A security issue was discovered in Kubernetes where a user that can create pods on Windows nodes may be able to escalate to admin privileges on those nodes. Kubernetes clusters are only affected if they include Windows nodes. |
Uber | ||
|
2023-10-27 08:15:31 | CVE-2023-46194 (lien direct) | Unauth.Vulnérabilité reflétée des scripts croisés (XSS) dans Eric Teubert Archivist & acirc; & euro; & ldquo;Plugin de modèles d'archives personnalisés | Vulnerability | Uber | |
|
2023-10-25 20:15:18 | CVE-2023-5044 (lien direct) | Injection de code via nginx.ingress.kubernetes.io/permanent-redirect Annotation.
Code injection via nginx.ingress.kubernetes.io/permanent-redirect annotation. |
Uber | ||
|
2023-10-09 20:15:10 | CVE-2023-44392 (lien direct) | Garden offre l'automatisation du développement et des tests de Kubernetes.Avant les tov ersions de 0,13,17 et 0,12,65, Garden dépend de la bibliothèque cryo, qui est vulnérable à l'injection de code en raison d'une implémentation non sécurisée de la désérialisation.Garden Stocks a sérialisé des objets à l'aide de cryo dans les ressources de Kubernetes `CONFICMAP` préfixées avec des« tests de test »et du« Run-Result »pour cacher le test du jardin et exécuter les résultats.Ces `configmaps» sont stockés soit dans l'espace de noms `` Garden-System 'ou dans l'espace de noms d'utilisateur configuré.Lorsqu'un utilisateur invoque la commande «Garden Test» ou «Garden Run» stocké dans les «configmap» sont récupérés et désérialisés.Cela peut être utilisé par un attaquant avec accès au cluster Kubernetes pour stocker des objets malveillants dans le `CONFIGMAP`, ce qui peut déclencher une exécution de code distante sur la machine des utilisateurs lorsque Cryo désérialise l'objet.Afin d'exploiter cette vulnérabilité, un attaquant doit avoir accès au cluster Kubernetes utilisé pour déployer des environnements à distance de jardin.De plus, un utilisateur doit invoquer activement un «test de jardin» ou une «course de jardin» qui a précédemment mis en cache les résultats.Le problème a été corrigé dans les versions du jardin «0,13,17» (bonsaï) et «0,12,65» (acorn).Seules les versions du jardin sont vulnérables.Aucune solution de contournement connue n'est disponible.
Garden provides automation for Kubernetes development and testing. Prior tov ersions 0.13.17 and 0.12.65, Garden has a dependency on the cryo library, which is vulnerable to code injection due to an insecure implementation of deserialization. Garden stores serialized objects using cryo in the Kubernetes `ConfigMap` resources prefixed with `test-result` and `run-result` to cache Garden test and run results. These `ConfigMaps` are stored either in the `garden-system` namespace or the configured user namespace. When a user invokes the command `garden test` or `garden run` objects stored in the `ConfigMap` are retrieved and deserialized. This can be used by an attacker with access to the Kubernetes cluster to store malicious objects in the `ConfigMap`, which can trigger a remote code execution on the users machine when cryo deserializes the object. In order to exploit this vulnerability, an attacker must have access to the Kubernetes cluster used to deploy garden remote environments. Further, a user must actively invoke either a `garden test` or `garden run` which has previously cached results. The issue has been patched in Garden versions `0.13.17` (Bonsai) and `0.12.65` (Acorn). Only Garden versions prior to these are vulnerable. No known workarounds are available. |
Uber | ||
|
2023-10-04 12:15:10 | CVE-2023-3361 (lien direct) | Une faille a été trouvée dans Red Hat OpenShift Data Science.Lors de l'exportation d'un pipeline à partir de l'éditeur de pipeline Elyra Notebook en tant que Python DSL ou YAML, il lit les informations d'identification S3 à partir du cluster (DS Pipeline Server) et les enregistre en texte brut dans la sortie générée au lieu d'un ID pour un secret de Kubernetes.
A flaw was found in Red Hat OpenShift Data Science. When exporting a pipeline from the Elyra notebook pipeline editor as Python DSL or YAML, it reads S3 credentials from the cluster (ds pipeline server) and saves them in plain text in the generated output instead of an ID for a Kubernetes secret. |
Uber | ||
|
2023-09-27 21:15:09 | CVE-2023-40026 (lien direct) | ARGO CD est un cadre de déploiement continu déclaratif pour Kubernetes.Dans les versions CD ARGO avant 2.3 (à partir du moins dans V0.1.0, mais probablement dans n'importe quelle version utilisant Helm avant 2.3), l'utilisation d'un fichier de casque spécifiquement conçu pourrait référencer les graphiques de barre externes gérés par le même Repo-Server pour les valeurs de fuite,ou les fichiers du graphique de la barre référencée.Cela était possible car les chemins de barre étaient prévisibles.La vulnérabilité a fonctionné en ajoutant un graphique de barre qui a référencé les ressources de casque à partir de chemins prévisibles.Étant donné que les chemins des graphiques de barre étaient prévisibles et disponibles sur une instance de Repo-Server, il a été possible de référencer puis de rendre les valeurs et les ressources des autres graphiques de barre existants indépendamment des autorisations.Bien que généralement, les secrets ne sont pas stockés dans ces fichiers, il a néanmoins été possible de référencer des valeurs de ces graphiques.Ce problème a été résolu dans ARGO CD 2.3 et les versions ultérieures en randomisant les chemins de barre.L'utilisateur \\ est toujours à l'aide d'ARGO CD 2.3 ou ci-dessous il est conseillé de mettre à jour une version prise en charge.Si cela n'est pas possible, la désactivation du rendu du graphique de la barre ou l'utilisation d'un serveur de réapprovisionnement supplémentaire pour chaque graphique de barre empêcherait une éventuelle exploitation.
Argo CD is a declarative continuous deployment framework for Kubernetes. In Argo CD versions prior to 2.3 (starting at least in v0.1.0, but likely in any version using Helm before 2.3), using a specifically-crafted Helm file could reference external Helm charts handled by the same repo-server to leak values, or files from the referenced Helm Chart. This was possible because Helm paths were predictable. The vulnerability worked by adding a Helm chart that referenced Helm resources from predictable paths. Because the paths of Helm charts were predictable and available on an instance of repo-server, it was possible to reference and then render the values and resources from other existing Helm charts regardless of permissions. While generally, secrets are not stored in these files, it was nevertheless possible to reference any values from these charts. This issue was fixed in Argo CD 2.3 and subsequent versions by randomizing Helm paths. User\'s still using Argo CD 2.3 or below are advised to update to a supported version. If this is not possible, disabling Helm chart rendering, or using an additional repo-server for each Helm chart would prevent possible exploitation. |
Vulnerability | Uber | |
|
2023-09-27 15:19:30 | CVE-2023-41333 (lien direct) | CILIUM est une solution de réseautage, d'observabilité et de sécurité avec une voie de données basée sur EBPF.Un attaquant ayant la possibilité de créer ou de modifier les objets CiliumNetworkPolicy dans un espace de noms particulier est capable d'affecter le trafic sur un cluster de cilium entier, en contournant potentiellement l'application de stratégie dans d'autres espaces de noms.En utilisant un «endpointSelector» fabriqué qui utilise l'opérateur `Doexist» sur l'étiquette `réservée: init`, l'attaquant peut créer des politiques qui contournent les restrictions d'espace de noms et affectent l'ensemble du cluster de cilium.Cela comprend potentiellement l'autorisation ou le refus de tout le trafic.Cette attaque nécessite un accès au serveur API, comme décrit dans la section d'attaquant de serveur API Kubernetes du modèle de menace CILIUM.Ce problème a été résolu dans les versions CILIUM 1.14.2, 1.13.7 et 1.12.14.En tant que solution de contournement, un webhook d'admission peut être utilisé pour empêcher l'utilisation de «EndPointSelectors» qui utilisent l'opérateur «DoSnotexist» sur l'étiquette `réservée: INIT` dans CiliumNetworkPolicies.
Cilium is a networking, observability, and security solution with an eBPF-based dataplane. An attacker with the ability to create or modify CiliumNetworkPolicy objects in a particular namespace is able to affect traffic on an entire Cilium cluster, potentially bypassing policy enforcement in other namespaces. By using a crafted `endpointSelector` that uses the `DoesNotExist` operator on the `reserved:init` label, the attacker can create policies that bypass namespace restrictions and affect the entire Cilium cluster. This includes potentially allowing or denying all traffic. This attack requires API server access, as described in the Kubernetes API Server Attacker section of the Cilium Threat Model. This issue has been resolved in Cilium versions 1.14.2, 1.13.7, and 1.12.14. As a workaround an admission webhook can be used to prevent the use of `endpointSelectors` that use the `DoesNotExist` operator on the `reserved:init` label in CiliumNetworkPolicies. |
Threat | Uber | |
|
2023-09-27 15:18:55 | CVE-2023-39347 (lien direct) | CILIUM est une solution de réseautage, d'observabilité et de sécurité avec une voie de données basée sur EBPF.Un attaquant ayant la possibilité de mettre à jour les étiquettes POD peut amener le CILIO à appliquer des politiques de réseau incorrectes.Ce problème se pose en raison du fait que sur la mise à jour du pod, Cilium utilise incorrectement les étiquettes POD fournies par l'utilisateur pour sélectionner les politiques qui s'appliquent à la charge de travail en question.Cela peut affecter les stratégies de réseau CILIUM qui utilisent l'espace de noms, le compte de service ou les constructions de cluster pour restreindre le trafic, les stratégies de réseau de cluster à l'échelle de cilium qui utilisent des étiquettes d'espace de noms CILIUM pour sélectionner les stratégies de réseau POD et Kubernetes.Des noms de construction inexistants peuvent être fournis, ce qui contourne toutes les stratégies de réseau applicables à la construction.Par exemple, fournir à un pod avec un espace de noms inexistant comme valeur de l'étiquette `io.kubernetes.pod.namespace» ne se traduit par aucune des coliques de noms de noms de noms de noms en question au pod en question.Cette attaque nécessite que l'attaquant ait un accès au serveur API Kubernetes, comme décrit dans le modèle de menace CILIUM.Ce problème a été résolu dans: CILIUM Versions 1.14.2, 1.13.7 et 1.12.14.Il est conseillé aux utilisateurs de mettre à niveau.En tant que solution de contournement, un webhook d'admission peut être utilisé pour empêcher les mises à jour de l'étiquette POD des `K8S: io.kubernetes.pod.namespace` et` io.cilum.k8s.policy. * `Touches.
Cilium is a networking, observability, and security solution with an eBPF-based dataplane. An attacker with the ability to update pod labels can cause Cilium to apply incorrect network policies. This issue arises due to the fact that on pod update, Cilium incorrectly uses user-provided pod labels to select the policies which apply to the workload in question. This can affect Cilium network policies that use the namespace, service account or cluster constructs to restrict traffic, Cilium clusterwide network policies that use Cilium namespace labels to select the Pod and Kubernetes network policies. Non-existent construct names can be provided, which bypass all network policies applicable to the construct. For example, providing a pod with a non-existent namespace as the value of the `io.kubernetes.pod.namespace` label results in none of the namespaced CiliumNetworkPolicies applying to the pod in question. This attack requires the attacker to have Kubernetes API Server access, as described in the Cilium Threat Model. This issue has been resolved in: Cilium versions 1.14.2, 1.13.7, and 1.12.14. Users are advised to upgrade. As a workaround an admission webhook can be used to prevent pod label updates to the `k8s:io.kubernetes.pod.namespace` and `io.cilium.k8s.policy.*` keys. |
Threat | Uber | |
|
2023-09-15 21:15:09 | CVE-2023-0923 (lien direct) | Une faille a été trouvée dans le service Kubernetes pour les cahiers dans Rhods, où il n'empêche pas les pods d'autres espaces de noms et applications de faire des demandes à l'API Jupyter.Ce défaut peut entraîner une exposition au contenu et d'autres problèmes.
A flaw was found in the Kubernetes service for notebooks in RHODS, where it does not prevent pods from other namespaces and applications from making requests to the Jupyter API. This flaw can lead to file content exposure and other issues. |
Uber | ||
|
2023-09-12 22:15:08 | CVE-2023-41423 (lien direct) | La vulnérabilité de script du site croisé dans le plugin WP Githuber MD V.1.16.2 permet à un attaquant distant d'exécuter du code arbitraire via une charge utile fabriquée à la nouvelle fonction de l'article.
Cross Site Scripting vulnerability in WP Githuber MD plugin v.1.16.2 allows a remote attacker to execute arbitrary code via a crafted payload to the new article function. |
Vulnerability | Uber | |
|
2023-09-12 17:15:08 | CVE-2023-29332 (lien direct) | Microsoft Azure Kubernetes Service Élévation des privilèges Vulnérabilité
Microsoft Azure Kubernetes Service Elevation of Privilege Vulnerability |
Vulnerability | Uber | |
|
2023-09-07 23:15:10 | CVE-2023-40584 (lien direct) | ARGO CD est un déploiement continu déclaratif pour Kubernetes.Toutes les versions d'Argocd à partir de v2.4 ont un bogue où le composant Repo-Server Argocd est vulnérable à un vecteur d'attaque de déni de service.Plus précisément, ledit composant extrait un fichier TAR.gz contrôlé par l'utilisateur sans valider la taille de ses fichiers intérieurs.En conséquence, un utilisateur malveillant et peu privilégié peut envoyer un fichier tar.gz malveillant qui exploite cette vulnérabilité au serveur de réapprovisionnement, nuisant ainsi à la fonctionnalité et à la disponibilité du système \\.De plus, le serveur Repo est sensible à une autre vulnérabilité en raison du fait qu'il ne vérifie pas les autorisations de fichiers extraites avant de tenter de les supprimer.Par conséquent, un attaquant peut élaborer une archive tar.gz malveillante d'une manière qui empêche la suppression de ses fichiers intérieurs lorsque le processus de génération manifeste est terminé.Un patch pour cette vulnérabilité a été publié dans les versions 2.6.15, 2.7.14 et 2.8.3.Il est conseillé aux utilisateurs de mettre à niveau.La seule façon de résoudre complètement le problème est de mettre à niveau, mais les utilisateurs incapables de mettre à niveau doivent configurer la RBAC (contrôle d'accès basé sur les rôles) et fournir un accès à la configuration des applications uniquement à un nombre limité d'administrateurs.Ces administrateurs doivent utiliser des graphiques de barre de confiance et vérifiés.
Argo CD is a declarative continuous deployment for Kubernetes. All versions of ArgoCD starting from v2.4 have a bug where the ArgoCD repo-server component is vulnerable to a Denial-of-Service attack vector. Specifically, the said component extracts a user-controlled tar.gz file without validating the size of its inner files. As a result, a malicious, low-privileged user can send a malicious tar.gz file that exploits this vulnerability to the repo-server, thereby harming the system\'s functionality and availability. Additionally, the repo-server is susceptible to another vulnerability due to the fact that it does not check the extracted file permissions before attempting to delete them. Consequently, an attacker can craft a malicious tar.gz archive in a way that prevents the deletion of its inner files when the manifest generation process is completed. A patch for this vulnerability has been released in versions 2.6.15, 2.7.14, and 2.8.3. Users are advised to upgrade. The only way to completely resolve the issue is to upgrade, however users unable to upgrade should configure RBAC (Role-Based Access Control) and provide access for configuring applications only to a limited number of administrators. These administrators should utilize trusted and verified Helm charts. |
Vulnerability | Uber | |
|
2023-09-07 23:15:09 | CVE-2023-40029 (lien direct) | ARGO CD est un déploiement continu déclaratif pour Kubernetes.ARGO CD Cluster Secrets pourrait être géré de manière déclarative à l'aide d'ARGO CD / Kubectl Appliquer.En conséquence, le corps secret complet est stocké dans'kubectl.kubernetes.io / annotation de configuration appliquée en dernier.Pull Demande # 7139 a introduit la possibilité de gérer les étiquettes et les annotations de cluster.Étant donné que les clusters sont stockés sous forme de secrets, il expose également l'annotation `kubectl.kubernetes.io / dernière configuration appliquée qui comprend un corps secret.Afin de visualiser les annotations de cluster via l'API CD ARGO, l'utilisateur doit avoir un accès RBAC `` Clusters, obtenez.** Remarque: ** Dans de nombreux cas, les secrets de cluster ne contiennent aucune information réellement sûre.Mais parfois, comme dans l'authentification du support, le contenu peut être très sensible.Le bogue a été corrigé dans les versions 2.8.3, 2.7.14 et 2.6.15.Il est conseillé aux utilisateurs de mettre à niveau.Les utilisateurs incapables de mettre à niveau doivent mettre à jour / déploier le secret du cluster avec l'indicateur `serveur côté apply` qui n'utilise pas ou ne s'appuie pas sur l'annotation` kubectl.kubernetes.io / dernière annotation de configuration appliquée.Remarque: l'annotation pour les secrets existants nécessitera une suppression manuelle.
Argo CD is a declarative continuous deployment for Kubernetes. Argo CD Cluster secrets might be managed declaratively using Argo CD / kubectl apply. As a result, the full secret body is stored in`kubectl.kubernetes.io/last-applied-configuration` annotation. pull request #7139 introduced the ability to manage cluster labels and annotations. Since clusters are stored as secrets it also exposes the `kubectl.kubernetes.io/last-applied-configuration` annotation which includes full secret body. In order to view the cluster annotations via the Argo CD API, the user must have `clusters, get` RBAC access. **Note:** In many cases, cluster secrets do not contain any actually-secret information. But sometimes, as in bearer-token auth, the contents might be very sensitive. The bug has been patched in versions 2.8.3, 2.7.14, and 2.6.15. Users are advised to upgrade. Users unable to upgrade should update/deploy cluster secret with `server-side-apply` flag which does not use or rely on `kubectl.kubernetes.io/last-applied-configuration` annotation. Note: annotation for existing secrets will require manual removal. |
Uber | ||
|
2023-08-23 20:15:08 | CVE-2023-40025 (lien direct) | ARGO CD est un outil de livraison continu Gitops déclaratif pour Kubernetes.Toutes les versions du CD ARGO à partir de la version 2.6.0 ont un bogue où les sessions d'ouverture du terminal Web n'expirent pas.Ce bogue permet aux utilisateurs d'envoyer des messages WebSocket même si le jeton a déjà expiré.Le scénario le plus simple est lorsqu'un utilisateur ouvre la vue terminale et la laisse ouverte pendant une période prolongée.Cela permet à l'utilisateur d'afficher des informations sensibles même lorsqu'elle aurait déjà dû être déconnectée.Un patch pour cette vulnérabilité a été publié dans les versions CD ARGO suivantes: 2.6.14, 2.7.12 et 2.8.1.
Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. All versions of Argo CD starting from version 2.6.0 have a bug where open web terminal sessions do not expire. This bug allows users to send any websocket messages even if the token has already expired. The most straightforward scenario is when a user opens the terminal view and leaves it open for an extended period. This allows the user to view sensitive information even when they should have been logged out already. A patch for this vulnerability has been released in the following Argo CD versions: 2.6.14, 2.7.12 and 2.8.1. |
Tool Vulnerability | Uber | |
|
2023-07-21 21:15:11 | CVE-2023-37917 (lien direct) | Kubepi est un panneau de gestion Kubernetes OpenSource.Un utilisateur normal a la permission de créer / mettre à jour les utilisateurs, il peut devenir administrateur en modifiant la valeur `Isadmin» dans la demande.Par conséquent, tout utilisateur peut prendre le contrôle administratif de Kubepi.Ce problème a été résolu dans la version 1.6.5.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
KubePi is an opensource kubernetes management panel. A normal user has permission to create/update users, they can become admin by editing the `isadmin` value in the request. As a result any user may take administrative control of KubePi. This issue has been addressed in version 1.6.5. Users are advised to upgrade. There are no known workarounds for this vulnerability. |
Uber | ||
|
2023-07-21 21:15:11 | CVE-2023-37916 (lien direct) | Kubepi est un panneau de gestion Kubernetes OpenSource.Le point de terminaison / kubepi / api / v1 / utilisateurs / search? Pagenum = 1 & amp; & amp; pagesize = 10 fuite de mot de passe de tout utilisateur (y compris l'administrateur).Un attaquant suffisamment motivé peut être en mesure de casser des hachages de mot de passe au plomb.Ce problème a été résolu dans la version 1.6.5.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
KubePi is an opensource kubernetes management panel. The endpoint /kubepi/api/v1/users/search?pageNum=1&&pageSize=10 leak password hash of any user (including admin). A sufficiently motivated attacker may be able to crack leaded password hashes. This issue has been addressed in version 1.6.5. Users are advised to upgrade. There are no known workarounds for this vulnerability. |
Uber | ||
|
2023-07-10 17:15:09 | CVE-2023-36375 (lien direct) | La vulnérabilité des scripts du site croisé dans le système de gestion de l'auberge V2.1 permet à un attaquant d'exécuter du code arbitraire via une charge utile fabriquée au nom du gardien, à la relation tuteur, à l'adresse complémentaire, à la ville, à l'adresse permanente et aux paramètres de la ville dans le livre Hostel & amp;Page Détails de la salle.
Cross Site Scripting vulnerability in Hostel Management System v2.1 allows an attacker to execute arbitrary code via a crafted payload to the Guardian name, Guardian relation, complimentary address, city, permanent address, and city parameters in the Book Hostel & Room Details page. |
Vulnerability | Uber | |
|
2023-07-10 16:15:53 | CVE-2023-36376 (lien direct) | La vulnérabilité des scripts croisés (XSS) dans le système de gestion de l'auberge V.2.1 permet aux attaquants d'exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans la section Ajouter le cours.
Cross-Site Scripting (XSS) vulnerability in Hostel Management System v.2.1 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the add course section. |
Vulnerability | Uber | |
|
2023-07-03 21:15:09 | CVE-2023-2727 (lien direct) | Les utilisateurs peuvent être en mesure de lancer des conteneurs à l'aide d'images limitées par ImagePolicyWebHook lors de l'utilisation de conteneurs éphémères.Les grappes de Kubernetes ne sont affectées que si le plugin d'admission ImagePolicyWebHook est utilisé avec des conteneurs éphémères.
Users may be able to launch containers using images that are restricted by ImagePolicyWebhook when using ephemeral containers. Kubernetes clusters are only affected if the ImagePolicyWebhook admission plugin is used together with ephemeral containers. |
Uber | ||
|
2023-07-03 21:15:09 | CVE-2023-2728 (lien direct) | Les utilisateurs peuvent être en mesure de lancer des conteneurs qui contournent la stratégie de secrets montables appliquée par le plugin d'admission à service de service lors de l'utilisation de conteneurs éphémères.La politique garantit que les pods exécutés avec un compte de service ne peuvent faire référence que des secrets spécifiés dans le domaine des secrets du compte de service et aciro; & euro;Les grappes de Kubernetes ne sont affectées que si le plugin d'admission ServiceAccount et l'annotation `kubernetes.io / application-montable-secrets» sont utilisés avec des conteneurs éphémères.
Users may be able to launch containers that bypass the mountable secrets policy enforced by the ServiceAccount admission plugin when using ephemeral containers. The policy ensures pods running with a service account may only reference secrets specified in the service account’s secrets field. Kubernetes clusters are only affected if the ServiceAccount admission plugin and the `kubernetes.io/enforce-mountable-secrets` annotation are used together with ephemeral containers. |
Uber | ||
|
2023-06-29 19:15:08 | CVE-2023-33190 (lien direct) | SealOS est une distribution de système d'exploitation cloud open source basé sur le noyau Kubernetes.Dans les versions de SEALOS avant 4.2.0, une mauvaise configuration des autorisations de contrôle d'accès basées sur les rôles (RBAC) a entraîné un attaquant de pouvoir obtenir des autorisations de contrôle des cluster, qui pourraient contrôler l'ensemble du cluster déployé avec SEALOS, ainsi que des centaines de pods etAutres ressources dans le cluster.Ce problème a été résolu dans la version 4.2.0.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
Sealos is an open source cloud operating system distribution based on the Kubernetes kernel. In versions of Sealos prior to 4.2.0 an improper configuration of role based access control (RBAC) permissions resulted in an attacker being able to obtain cluster control permissions, which could control the entire cluster deployed with Sealos, as well as hundreds of pods and other resources within the cluster. This issue has been addressed in version 4.2.0. Users are advised to upgrade. There are no known workarounds for this vulnerability. |
Cloud | Uber | |
|
2023-06-28 22:15:09 | CVE-2023-34647 (lien direct) | Le système de gestion des auberges PHPGURUKL V.1.0 est vulnérable aux scripts du site croisé (XSS).
PHPgurukl Hostel Management System v.1.0 is vulnerable to Cross Site Scripting (XSS). |
Uber | ||
|
2023-06-28 21:15:10 | CVE-2023-34652 (lien direct) | Le système de gestion des auberges PHPGURUKL V.1.0 est vulnérable aux scripts croisés du site (XSS) via Ajouter un nouveau cours.
PHPgurukl Hostel Management System v.1.0 is vulnerable to Cross Site Scripting (XSS) via Add New Course. |
Uber | ||
|
2023-06-23 21:15:09 | CVE-2023-35165 (lien direct) | AWS Cloud Development Kit (AWS CDK) est un cadre de développement logiciel open source pour définir l'infrastructure cloud dans le code et la fournir via AWS CloudFormation.Dans les packages, `aws-cdk-lib` 2.0.0 jusqu'à 2.80.0 et` @ aws-cdk / aws-eks` 1.57.0 jusqu'à 1.202.0, `eks.cluster` et` eks.fargatecluster` Les constructions en créent deux deuxLes rôles, «CreationRole» et «Mastersrole» par défaut, qui ont une politique de confiance trop permissive.
La première, appelée «CreationRole», est utilisée par les gestionnaires Lambda pour créer le cluster et déployer des ressources Kubernetes (par exemple `KubernetesManifest», «HelmChart», ...).Les utilisateurs avec la version CDK supérieure ou égale à 1,62.0 (y compris les utilisateurs de V2) peuvent être affectés.
La seconde, appelée «Mastersrole» par défaut, n'est provisionnée que si la propriété «Mastersrole» n'est pas fournie et a des autorisations pour exécuter des commandes «kubectl» sur le cluster.Les utilisateurs avec la version CDK supérieure ou égale à 1,57.0 (y compris les utilisateurs de V2) peuvent être affectés.
Le problème a été résolu dans `@ aws-cdk / aws-eks` v1.202.0 et` aws-cdk-lib` v2.80.0.Ces versions n'utilisent plus le directeur racine du compte.Au lieu de cela, ils restreignent la politique de confiance aux rôles spécifiques des gestionnaires de Lambda qui en ont besoin.Il n'y a pas de solution de contournement pour CreationRole.Pour éviter de créer le «Mastersrole par défaut», utilisez la propriété «MasterSrole» pour fournir explicitement un rôle.
AWS Cloud Development Kit (AWS CDK) is an open-source software development framework to define cloud infrastructure in code and provision it through AWS CloudFormation. In the packages `aws-cdk-lib` 2.0.0 until 2.80.0 and `@aws-cdk/aws-eks` 1.57.0 until 1.202.0, `eks.Cluster` and `eks.FargateCluster` constructs create two roles, `CreationRole` and `default MastersRole`, that have an overly permissive trust policy. The first, referred to as the `CreationRole`, is used by lambda handlers to create the cluster and deploy Kubernetes resources (e.g `KubernetesManifest`, `HelmChart`, ...) onto it. Users with CDK version higher or equal to 1.62.0 (including v2 users) may be affected. The second, referred to as the `default MastersRole`, is provisioned only if the `mastersRole` property isn\'t provided and has permissions to execute `kubectl` commands on the cluster. Users with CDK version higher or equal to 1.57.0 (including v2 users) may be affected. The issue has been fixed in `@aws-cdk/aws-eks` v1.202.0 and `aws-cdk-lib` v2.80.0. These versions no longer use the account root principal. Instead, they restrict the trust policy to the specific roles of lambda handlers that need it. There is no workaround available for CreationRole. To avoid creating the `default MastersRole`, use the `mastersRole` property to explicitly provide a role. |
Cloud | Uber | |
|
2023-06-15 20:15:09 | CVE-2023-34242 (lien direct) | CILIUM est une solution de réseautage, d'observabilité et de sécurité avec une voie de données basée sur EBPF.Avant la version 1.13.4, lorsque l'API de la passerelle est activée dans CILIUM, l'absence de contrôle sur l'espace de noms dans lequel une référence est créée pourrait entraîner le cil de gagner involontairement la visibilité des secrets (y compris des certificats) et des services à travers les espaces de noms.Un attaquant sur un cluster affecté peut tirer parti de ce problème pour utiliser des secrets de cluster qui ne devraient pas être visibles pour eux, ou communiquer avec les services auxquels ils ne devraient pas avoir accès.La fonctionnalité de l'API de passerelle est désactivée par défaut.Cette vulnérabilité est fixée dans la libération de cilium 1.13.4.En tant que solution de contournement, restreignez la création de ressources «ReferenceGrant» aux utilisateurs d'administration en utilisant Kubernetes RBAC.
Cilium is a networking, observability, and security solution with an eBPF-based dataplane. Prior to version 1.13.4, when Gateway API is enabled in Cilium, the absence of a check on the namespace in which a ReferenceGrant is created could result in Cilium unintentionally gaining visibility of secrets (including certificates) and services across namespaces. An attacker on an affected cluster can leverage this issue to use cluster secrets that should not be visible to them, or communicate with services that they should not have access to. Gateway API functionality is disabled by default. This vulnerability is fixed in Cilium release 1.13.4. As a workaround, restrict the creation of `ReferenceGrant` resources to admin users by using Kubernetes RBAC. |
Vulnerability | Uber | |
|
2023-06-07 15:15:09 | CVE-2023-2878 (lien direct) | Kubernetes Secrets-Store-CSI-Driver dans les versions avant 1.3.3 Divulguent les jetons de compte de service dans les journaux.
Kubernetes secrets-store-csi-driver in versions before 1.3.3 discloses service account tokens in logs. |
Uber | ||
|
2023-06-05 14:15:09 | CVE-2023-0545 (lien direct) | Le plugin WordPress de l'auberge avant 1.1.5.2 ne désinfecte pas et n'échappe pas à certains de ses paramètres, ce qui pourrait permettre aux utilisateurs de privilèges élevés tels que l'administrateur d'effectuer des attaques de scripts inter-sites stockées même lorsque la capacité non filtrée_html est interdite (par exemple dans la configuration multisite).
The Hostel WordPress plugin before 1.1.5.2 does not sanitise and escape some of its settings, which could allow high privilege users such as admin to perform Stored Cross-Site Scripting attacks even when the unfiltered_html capability is disallowed (for example in multisite setup). |
Uber | ||
|
2023-06-01 17:15:10 | CVE-2023-34091 (lien direct) | Kyverno est un moteur politique conçu pour Kubernetes.Dans les versions de Kyverno avant 1.10.0, les ressources qui ont le champ de «Deletiontimestamp» défini peuvent contourner, générer ou muter des politiques existantes, même dans les cas où le champ «ValidationFailureAction» est défini sur `Enforce».Cette situation se produit car les ressources en attente de suppression étaient consciemment exemptées par Kyverno, comme moyen de réduire la charge de traitement, car les politiques ne sont généralement pas appliquées aux objets qui sont supprimés.Cependant, cela pourrait potentiellement permettre à un utilisateur malveillant de tirer parti de la fonctionnalité Finalizers de Kubernetes en définissant un finalizer qui provoque le serveur API de Kubernetes pour définir le «Deletiontimestamp» et ne pas terminer l'opération de suppression pour explicitement pour contourner une politique de Kyverno à explicitement pour contourner une politique de Kyverno en.Notez que cela ne s'applique pas aux pods de Kubernetes, mais, par exemple, une ressource de service Kubernetes peut être manipulée à l'aide d'un finaliseur indéfini pour contourner les politiques.Ceci est résolu dans Kyverno 1.10.0.Il n'y a pas de solution de contournement connue.
Kyverno is a policy engine designed for Kubernetes. In versions of Kyverno prior to 1.10.0, resources which have the `deletionTimestamp` field defined can bypass validate, generate, or mutate-existing policies, even in cases where the `validationFailureAction` field is set to `Enforce`. This situation occurs as resources pending deletion were being consciously exempted by Kyverno, as a way to reduce processing load as policies are typically not applied to objects which are being deleted. However, this could potentially result in allowing a malicious user to leverage the Kubernetes finalizers feature by setting a finalizer which causes the Kubernetes API server to set the `deletionTimestamp` and then not completing the delete operation as a way to explicitly to bypass a Kyverno policy. Note that this is not applicable to Kubernetes Pods but, as an example, a Kubernetes Service resource can be manipulated using an indefinite finalizer to bypass policies. This is resolved in Kyverno 1.10.0. There is no known workaround. |
Uber | ||
|
2023-06-01 13:15:10 | CVE-2023-22647 (lien direct) | Une vulnérabilité de gestion des privilèges inappropriée dans SUSE Rancher a permis aux utilisateurs standard de tirer parti de leurs autorisations existantes pour manipuler les secrets de Kubernetes dans le local cluster, entraînant le secret du secret, mais leur niveau de lecture Les autorisations au secret étant préservées.Quand cette opération était suivi par d'autres commandes spécialement conçues, cela pourrait entraîner L'utilisateur a accès à des jetons appartenant à des comptes de service dans le cluster local. Ce problème affecte Rancher: de> = 2,6.0 avant = 2,7.0 avant = 2.6.0 before < 2.6.13, from >= 2.7.0 before < 2.7.4. | Vulnerability | Uber | |
|
2023-05-30 11:15:09 | CVE-2023-33234 (lien direct) | Exécution de code arbitraire dans Apache Airflow CNCF Kubernetes Provider version 5.0.0 permet à l'utilisateur de modifier l'image et les ressources de Sidecar XCOM via la connexion Airflow.
Afin d'exploiter cette faiblesse, un utilisateur aurait déjà besoin d'autorisations élevées (op ou admin) pour modifier l'objet de connexion de cette manière. & Acirc; & nbsp;Les opérateurs doivent passer à la version 7.0.0 du fournisseur qui a supprimé la vulnérabilité.
Arbitrary code execution in Apache Airflow CNCF Kubernetes provider version 5.0.0 allows user to change xcom sidecar image and resources via Airflow connection. In order to exploit this weakness, a user would already need elevated permissions (Op or Admin) to change the connection object in this manner. Operators should upgrade to provider version 7.0.0 which has removed the vulnerability. |
Uber | ||
|
2023-05-30 07:15:09 | CVE-2023-33191 (lien direct) | Kyverno est un moteur politique conçu pour Kubernetes.Le contrôle de Kyverno SecComp peut être contourné.Les utilisateurs de la sous-rulule PodSecurity `Valider.Podsecurity 'dans Kyverno 1.9.2 et 1.9.3 sont vulnérables.Ce problème a été corrigé dans la version 1.9.4.
Kyverno is a policy engine designed for Kubernetes. Kyverno seccomp control can be circumvented. Users of the podSecurity `validate.podSecurity` subrule in Kyverno 1.9.2 and 1.9.3 are vulnerable. This issue was patched in version 1.9.4. |
Uber | ||
|
2023-05-22 15:15:09 | CVE-2023-25448 (lien direct) | Cross-Site Request Forgery (CSRF) vulnerability in Eric Teubert Archivist – Custom Archive Templates plugin | Vulnerability | Uber | |
|
2023-05-08 18:15:14 | CVE-2023-30840 (lien direct) | Le fluide est un orchestrateur de données et accélérateur de données distribué natifs de Kubernetes open source pour les applications à forte intensité de données.À partir de la version 0.7.0 et avant la version 0.8.6, si un utilisateur malveillant prend le contrôle d'un nœud Kubernetes exécutant un pod CSI fluidCompte de service CSI pour modifier les spécifications de tous les nœuds du cluster.Cependant, comme ce compte de service n'a pas de permis de «nœud», l'attaquant peut avoir besoin d'utiliser d'autres techniques pour identifier les nœuds vulnérables.
Une fois que l'attaquant identifie et modifie les spécifications du nœud, ils peuvent manipuler des composants privilégiés au niveau du système pour accéder à tous les secrets du cluster ou exécuter des pods sur d'autres nœuds.Cela leur permet d'élever les privilèges au-delà du nœud compromis et d'obtenir potentiellement un accès privilégié complet à l'ensemble du cluster.
Pour exploiter cette vulnérabilité, l'attaquant peut rendre tous les autres nœuds inspices (par exemple, nœud de correctif avec Tainnts) et attendre les composants critiques avec un privilège élevé à apparaître sur le nœud compromis.Cependant, cette attaque nécessite deux conditions préalables: un nœud compromis et l'identification de tous les nœuds vulnérables par d'autres moyens.
La version 0.8.6 contient un correctif pour ce problème.En tant que solution de contournement, supprimez le Daemonset `CSI-NodePlugin-Fluid` dans l'espace de noms` fluide-system` et évitez d'utiliser le mode CSI pour monter des systèmes de fichiers de fusibles.Alternativement, l'utilisation du mode Sidecar pour monter des systèmes de fichiers de fusible est recommandé.
Fluid is an open source Kubernetes-native distributed dataset orchestrator and accelerator for data-intensive applications. Starting in version 0.7.0 and prior to version 0.8.6, if a malicious user gains control of a Kubernetes node running fluid csi pod (controlled by the `csi-nodeplugin-fluid` node-daemonset), they can leverage the fluid-csi service account to modify specs of all the nodes in the cluster. However, since this service account lacks `list node` permissions, the attacker may need to use other techniques to identify vulnerable nodes. Once the attacker identifies and modifies the node specs, they can manipulate system-level-privileged components to access all secrets in the cluster or execute pods on other nodes. This allows them to elevate privileges beyond the compromised node and potentially gain full privileged access to the whole cluster. To exploit this vulnerability, the attacker can make all other nodes unschedulable (for example, patch node with taints) and wait for system-critical components with high privilege to appear on the compromised node. However, this attack requires two prerequisites: a compromised node and identifying all vulnerable nodes through other means. Version 0.8.6 contains a patch for this issue. As a workaround, delete the `csi-nodeplugin-fluid` daemonset in `fluid-system` namespace and avoid using CSI mode to mount FUSE file systems. Alternatively, using sidecar mode to mount FUSE file systems is recommended. |
Uber | ||
|
2023-05-04 08:15:22 | CVE-2023-22651 (lien direct) | La vulnérabilité de gestion des privilèges inappropriée dans SUSE Rancher permet une escalade des privilèges.Un échec dans la logique de mise à jour du webhook de l'admission de Rancher \\ peut conduire à
La mauvaise configuration du webhook.Ce composant applique la validation
Règles et vérifications de sécurité avant l'admission des ressources
CLUSTER KUBERNETES.
Le problème affecte uniquement les utilisateurs qui passent de 2.6.x ou 2.7.x à 2.7.2.Les utilisateurs qui ont effectué une nouvelle installation de 2.7.2 (et qui n'ont pas suivi un chemin de mise à niveau) ne sont pas affectés.
Improper Privilege Management vulnerability in SUSE Rancher allows Privilege Escalation. A failure in the update logic of Rancher\'s admission Webhook may lead to the misconfiguration of the Webhook. This component enforces validation rules and security checks before resources are admitted into the Kubernetes cluster. The issue only affects users that upgrade from 2.6.x or 2.7.x to 2.7.2. Users that did a fresh install of 2.7.2 (and did not follow an upgrade path) are not affected. |
Vulnerability | Uber | |
|
2023-04-26 19:15:09 | CVE-2023-30841 (lien direct) | Baremetal Operator (BMO) est une intégration de provisionnement d'hôte en métal nu pour Kubernetes.Avant la version 0.3.0, l'inspecteur ironique et ironique déployé au sein de l'opérateur BareMemetal à l'aide des fichiers `deploy.sh` inclus, stockez leurs fichiers` .htpasswd` en tant que configmaps au lieu de secrets.Cela fait que le nom d'utilisateur et le mot de passe hachis de texte en clair sont lisibles par quiconque a une lecture à l'échelle du cluster au cluster de gestion, ou un accès au stockage etcd de la cluster de gestion \\.Ce problème est corrigé dans Baremetal-Operator PR # 1241 et est inclus dans la version 0.3.0 de BMO.En tant que solution de contournement, les utilisateurs peuvent modifier les Kustomalisations et redéployer le BMO, ou recréer les configmaps requis en tant que secrets par instructions dans Baremetal-Operator PR # 1241.
Baremetal Operator (BMO) is a bare metal host provisioning integration for Kubernetes. Prior to version 0.3.0, ironic and ironic-inspector deployed within Baremetal Operator using the included `deploy.sh` store their `.htpasswd` files as ConfigMaps instead of Secrets. This causes the plain-text username and hashed password to be readable by anyone having a cluster-wide read-access to the management cluster, or access to the management cluster\'s Etcd storage. This issue is patched in baremetal-operator PR#1241, and is included in BMO release 0.3.0 onwards. As a workaround, users may modify the kustomizations and redeploy the BMO, or recreate the required ConfigMaps as Secrets per instructions in baremetal-operator PR#1241. |
Uber | ||
|
2023-04-25 12:15:09 | CVE-2023-25490 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans Eric Teubert Archivist & acirc; & euro; & ldquo;Plugin de modèles d'archives personnalisés | Vulnerability | Uber | |
|
2023-04-24 21:15:09 | CVE-2023-2250 (lien direct) | Une faille a été trouvée dans l'Open Cluster Management (OCM) lorsqu'un utilisateur a accès aux nœuds de travailleur qui possèdent les déploiements de contrôleur de cluster-manager-contrôleur ou de cluster-manager.Un utilisateur malveillant peut en profiter et lier le cluster-ajout à n'importe quel compte de service ou utiliser le compte de service pour répertorier tous les secrets pour toutes les espaces de noms de Kubernetes, conduisant à une escalade de privilège au niveau du cluster.
A flaw was found in the Open Cluster Management (OCM) when a user have access to the worker nodes which has the cluster-manager-registration-controller or cluster-manager deployments. A malicious user can take advantage of this and bind the cluster-admin to any service account or using the service account to list all secrets for all kubernetes namespaces, leading into a cluster-level privilege escalation. |
Uber | ||
|
2023-04-24 16:15:07 | CVE-2023-30622 (lien direct) | Clusternet est un système à usage général pour contrôler les clusters Kubernetes dans différents environnements.Un problème dans CluSternet avant la version 0.15.2 peut être exploité pour conduire à une escalade de privilège au niveau du cluster.Le Clusternet a un déploiement appelé «Cluster-Hub» à l'intérieur de l'espace de noms Kubernetes «Clusternet-System», qui s'exécute sur les nœuds de travail au hasard.Le déploiement a un compte de service appelé `Clusternet-Hub`, qui a un rôle de cluster appelé` clustern: hub` via la liaison du rôle de cluster.Le rôle de cluster `clusternet: hub` a` "*" verbes de "*. *" `Ressources.Ainsi, si un utilisateur malveillant peut accéder au nœud de travailleur qui exécute le Clusternet, il peut tirer parti du compte de service pour effectuer des actions malveillantes aux ressources système critiques.Par exemple, l'utilisateur malveillant peut tirer parti du compte de service pour obtenir tous les secrets dans l'ensemble du cluster, ce qui entraîne une escalade de privilège au niveau du cluster.La version 0.15.2 contient un correctif pour ce problème.
Clusternet is a general-purpose system for controlling Kubernetes clusters across different environments. An issue in clusternet prior to version 0.15.2 can be leveraged to lead to a cluster-level privilege escalation. The clusternet has a deployment called `cluster-hub` inside the `clusternet-system` Kubernetes namespace, which runs on worker nodes randomly. The deployment has a service account called `clusternet-hub`, which has a cluster role called `clusternet:hub` via cluster role binding. The `clusternet:hub` cluster role has `"*" verbs of "*.*"` resources. Thus, if a malicious user can access the worker node which runs the clusternet, they can leverage the service account to do malicious actions to critical system resources. For example, the malicious user can leverage the service account to get ALL secrets in the entire cluster, resulting in cluster-level privilege escalation. Version 0.15.2 contains a fix for this issue. |
Uber | ||
|
2023-04-15 23:15:13 | CVE-2018-17450 (lien direct) | Un problème a été découvert dans Gitlab Community and Enterprise Edition avant 11.1.7, 11.2.x avant 11.2.4 et 11.3.x avant le 11.3.1.Il y a la contrefaçon de demande côté serveur (SSRF) via l'intégration Kubernetes, menant (par exemple) à la divulgation d'un jeton de service GCP.
An issue was discovered in GitLab Community and Enterprise Edition before 11.1.7, 11.2.x before 11.2.4, and 11.3.x before 11.3.1. There is Server-Side Request Forgery (SSRF) via the Kubernetes integration, leading (for example) to disclosure of a GCP service token. |
Uber | ||
|
2023-04-12 18:15:07 | CVE-2023-30513 (lien direct) | Jenkins Kubernetes Plugin 3909.V1F2C633E8590 et précédemment ne masque pas correctement (c'est-à-dire remplacer par des astérisques) des informations d'identification dans le journal de construction lorsque le mode push pour la journalisation de la tâche durable est activé.
Jenkins Kubernetes Plugin 3909.v1f2c633e8590 and earlier does not properly mask (i.e., replace with asterisks) credentials in the build log when push mode for durable task logging is enabled. |
Uber | ||
|
2023-04-12 06:15:07 | CVE-2023-30512 (lien direct) | Les CuBEFS via 3.2.1 permettent l'escalade de privilège au niveau du cluster Kubernetes.Cela se produit parce que Daemonset a CFS-CSI-Cluster-Role et peut ainsi énumérer tous les secrets, y compris le secret administrateur.
CubeFS through 3.2.1 allows Kubernetes cluster-level privilege escalation. This occurs because DaemonSet has cfs-csi-cluster-role and can thus list all secrets, including the admin secret. |
Uber | ||
|
2023-03-22 19:15:12 | CVE-2023-28114 (lien direct) | `Cilium-Cli` est l'interface de ligne de commande pour installer, gérer et dépanner les clusters Kubernetes exécutant le cilium.Avant la version 0.13.2, `Cilium-Cli`, lorsqu'il est utilisé pour configurer les fonctionnalités de maillage du cluster, peut supprimer l'application des autorisations utilisateur sur le magasin` etcd` utilisé pour refléter les informations de cluster locales aux clusters distants.Les utilisateurs qui ont configuré des mailles de cluster à l'aide du graphique de la barre CILIUM ne sont pas affectés par ce problème.En raison d'une spécification de point de montage incorrecte, les paramètres spécifiés par `InitContainer» qui configurent les utilisateurs `etcd` et leurs autorisations sont écrasés lors de l'utilisation de` cilium-Cli` pour configurer un maillage de cluster.Un attaquant qui a déjà eu accès à une clé et un certificat valides pour un cluster «etcd» compromis de cette manière pourrait alors modifier l'état dans ce cluster «etcd».Ce problème est corrigé dans «Cilium-Cli» 0,13,2.En tant que solution de contournement, on peut utiliser des graphiques de barre de Cilium \\ pour créer leur cluster.
`cilium-cli` is the command line interface to install, manage, and troubleshoot Kubernetes clusters running Cilium. Prior to version 0.13.2,`cilium-cli`, when used to configure cluster mesh functionality, can remove the enforcement of user permissions on the `etcd` store used to mirror local cluster information to remote clusters. Users who have set up cluster meshes using the Cilium Helm chart are not affected by this issue. Due to an incorrect mount point specification, the settings specified by the `initContainer` that configures `etcd` users and their permissions are overwritten when using `cilium-cli` to configure a cluster mesh. An attacker who has already gained access to a valid key and certificate for an `etcd` cluster compromised in this manner could then modify state in that `etcd` cluster. This issue is patched in `cilium-cli` 0.13.2. As a workaround, one may use Cilium\'s Helm charts to create their cluster. |
Uber | ||
|
2023-03-17 22:15:11 | CVE-2023-27595 (lien direct) | Cilium is a networking, observability, and security solution with an eBPF-based dataplane. In version 1.13.0, when Cilium is started, there is a short period when Cilium eBPF programs are not attached to the host. During this period, the host does not implement any of Cilium's featureset. This can cause disruption to newly established connections during this period due to the lack of Load Balancing, or can cause Network Policy bypass due to the lack of Network Policy enforcement during the window. This vulnerability impacts any Cilium-managed endpoints on the node (such as Kubernetes Pods), as well as the host network namespace (including Host Firewall). This vulnerability is fixed in Cilium 1.13.1 or later. Cilium releases 1.12.x, 1.11.x, and earlier are not affected. There are no known workarounds. | Vulnerability | Uber | |
|
2023-03-17 20:15:13 | CVE-2023-27593 (lien direct) | Cilium is a networking, observability, and security solution with an eBPF-based dataplane. Prior to versions 1.11.15, 1.12.8, and 1.13.1, an attacker with access to a Cilium agent pod can write to `/opt/cni/bin` due to a `hostPath` mount of that directory in the agent pod. By replacing the CNI binary with their own malicious binary and waiting for the creation of a new pod on the node, the attacker can gain access to the underlying node. The issue has been fixed and the fix is available on versions 1.11.15, 1.12.8, and 1.13.1. Some workarounds are available. Kubernetes RBAC should be used to deny users and service accounts `exec` access to Cilium agent pods. In cases where a user requires `exec` access to Cilium agent pods, but should not have access to the underlying node, no workaround is possible. | Uber | ||
|
2023-03-16 17:15:09 | CVE-2023-28110 (lien direct) | Jumpserver is a popular open source bastion host, and Koko is a Jumpserver component that is the Go version of coco, refactoring coco's SSH/SFTP service and Web Terminal service. Prior to version 2.28.8, using illegal tokens to connect to a Kubernetes cluster through Koko can result in the execution of dangerous commands that may disrupt the Koko container environment and affect normal usage. The vulnerability has been fixed in v2.28.8. | Vulnerability | Uber | |
|
2023-03-15 21:15:08 | CVE-2023-26484 (lien direct) | KubeVirt is a virtual machine management add-on for Kubernetes. In versions 0.59.0 and prior, if a malicious user has taken over a Kubernetes node where virt-handler (the KubeVirt node-daemon) is running, the virt-handler service account can be used to modify all node specs. This can be misused to lure-in system-level-privileged components which can, for instance, read all secrets on the cluster, or can exec into pods on other nodes. This way, a compromised node can be used to elevate privileges beyond the node until potentially having full privileged access to the whole cluster. The simplest way to exploit this, once a user could compromise a specific node, is to set with the virt-handler service account all other nodes to unschedulable and simply wait until system-critical components with high privileges appear on its node. No patches are available as of time of publication. As a workaround, gatekeeper users can add a webhook which will block the `virt-handler` service account to modify the spec of a node. | Uber |
To see everything:
Our RSS (filtrered)
