What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-09-27 15:19:30 | CVE-2023-41333 (lien direct) | CILIUM est une solution de réseautage, d'observabilité et de sécurité avec une voie de données basée sur EBPF.Un attaquant ayant la possibilité de créer ou de modifier les objets CiliumNetworkPolicy dans un espace de noms particulier est capable d'affecter le trafic sur un cluster de cilium entier, en contournant potentiellement l'application de stratégie dans d'autres espaces de noms.En utilisant un «endpointSelector» fabriqué qui utilise l'opérateur `Doexist» sur l'étiquette `réservée: init`, l'attaquant peut créer des politiques qui contournent les restrictions d'espace de noms et affectent l'ensemble du cluster de cilium.Cela comprend potentiellement l'autorisation ou le refus de tout le trafic.Cette attaque nécessite un accès au serveur API, comme décrit dans la section d'attaquant de serveur API Kubernetes du modèle de menace CILIUM.Ce problème a été résolu dans les versions CILIUM 1.14.2, 1.13.7 et 1.12.14.En tant que solution de contournement, un webhook d'admission peut être utilisé pour empêcher l'utilisation de «EndPointSelectors» qui utilisent l'opérateur «DoSnotexist» sur l'étiquette `réservée: INIT` dans CiliumNetworkPolicies.
Cilium is a networking, observability, and security solution with an eBPF-based dataplane. An attacker with the ability to create or modify CiliumNetworkPolicy objects in a particular namespace is able to affect traffic on an entire Cilium cluster, potentially bypassing policy enforcement in other namespaces. By using a crafted `endpointSelector` that uses the `DoesNotExist` operator on the `reserved:init` label, the attacker can create policies that bypass namespace restrictions and affect the entire Cilium cluster. This includes potentially allowing or denying all traffic. This attack requires API server access, as described in the Kubernetes API Server Attacker section of the Cilium Threat Model. This issue has been resolved in Cilium versions 1.14.2, 1.13.7, and 1.12.14. As a workaround an admission webhook can be used to prevent the use of `endpointSelectors` that use the `DoesNotExist` operator on the `reserved:init` label in CiliumNetworkPolicies. |
Threat | Uber | |
|
2023-09-27 15:18:55 | CVE-2023-39347 (lien direct) | CILIUM est une solution de réseautage, d'observabilité et de sécurité avec une voie de données basée sur EBPF.Un attaquant ayant la possibilité de mettre à jour les étiquettes POD peut amener le CILIO à appliquer des politiques de réseau incorrectes.Ce problème se pose en raison du fait que sur la mise à jour du pod, Cilium utilise incorrectement les étiquettes POD fournies par l'utilisateur pour sélectionner les politiques qui s'appliquent à la charge de travail en question.Cela peut affecter les stratégies de réseau CILIUM qui utilisent l'espace de noms, le compte de service ou les constructions de cluster pour restreindre le trafic, les stratégies de réseau de cluster à l'échelle de cilium qui utilisent des étiquettes d'espace de noms CILIUM pour sélectionner les stratégies de réseau POD et Kubernetes.Des noms de construction inexistants peuvent être fournis, ce qui contourne toutes les stratégies de réseau applicables à la construction.Par exemple, fournir à un pod avec un espace de noms inexistant comme valeur de l'étiquette `io.kubernetes.pod.namespace» ne se traduit par aucune des coliques de noms de noms de noms de noms en question au pod en question.Cette attaque nécessite que l'attaquant ait un accès au serveur API Kubernetes, comme décrit dans le modèle de menace CILIUM.Ce problème a été résolu dans: CILIUM Versions 1.14.2, 1.13.7 et 1.12.14.Il est conseillé aux utilisateurs de mettre à niveau.En tant que solution de contournement, un webhook d'admission peut être utilisé pour empêcher les mises à jour de l'étiquette POD des `K8S: io.kubernetes.pod.namespace` et` io.cilum.k8s.policy. * `Touches.
Cilium is a networking, observability, and security solution with an eBPF-based dataplane. An attacker with the ability to update pod labels can cause Cilium to apply incorrect network policies. This issue arises due to the fact that on pod update, Cilium incorrectly uses user-provided pod labels to select the policies which apply to the workload in question. This can affect Cilium network policies that use the namespace, service account or cluster constructs to restrict traffic, Cilium clusterwide network policies that use Cilium namespace labels to select the Pod and Kubernetes network policies. Non-existent construct names can be provided, which bypass all network policies applicable to the construct. For example, providing a pod with a non-existent namespace as the value of the `io.kubernetes.pod.namespace` label results in none of the namespaced CiliumNetworkPolicies applying to the pod in question. This attack requires the attacker to have Kubernetes API Server access, as described in the Cilium Threat Model. This issue has been resolved in: Cilium versions 1.14.2, 1.13.7, and 1.12.14. Users are advised to upgrade. As a workaround an admission webhook can be used to prevent pod label updates to the `k8s:io.kubernetes.pod.namespace` and `io.cilium.k8s.policy.*` keys. |
Threat | Uber | |
|
2021-06-02 14:15:09 | CVE-2020-35514 (lien direct) | An insecure modification flaw in the /etc/kubernetes/kubeconfig file was found in OpenShift. This flaw allows an attacker with access to a running container which mounts /etc/kubernetes or has local access to the node, to copy this kubeconfig file and attempt to add their own node to the OpenShift cluster. The highest threat from this vulnerability is to confidentiality, integrity, as well as system availability. This flaw affects versions before openshift4/ose-machine-config-operator v4.7.0-202105111858.p0. | Vulnerability Threat | Uber | |
|
2021-03-16 21:15:10 | CVE-2021-20218 (lien direct) | A flaw was found in the fabric8 kubernetes-client in version 4.2.0 and after. This flaw allows a malicious pod/container to cause applications using the fabric8 kubernetes-client `copy` command to extract files outside the working path. The highest threat from this vulnerability is to integrity and system availability. This has been fixed in kubernetes-client-4.13.2 kubernetes-client-5.0.2 kubernetes-client-4.11.2 kubernetes-client-4.7.2 | Vulnerability Threat | Uber |
1
We have: 4 articles.
We have: 4 articles.
To see everything:
Our RSS (filtrered)
