幸运的是,对于用户,应用程序在其默认设置中很安全
Kubernetes的连续交付工具Argo CD的维护者已经修补了一个关键的漏洞,使攻击者能够伪造JSON Web令牌(JWTS)并成为管理员。beplay体育能用吗
特权升级缺陷出现了,因为开源如果启用了匿名访问,Gitops Platform错误地信任无效的JSON Web令牌(JWTSbeplay体育能用吗)。
幸运的是,对于用户而言,尽管该错误已获得最高的严重性等级(CVSS得分为10),但默认情况下会停用匿名访问。
群集控制
如果未经验证的不法行为将专门精心设计的JWT发送给脆弱的安装,他们可以“在集群上获得与Argo CD实例相同的特权,即默认安装中的群集管理员”安全咨询在github上。
“这将使攻击者能够创建,操纵和删除集群上的任何资源。”
此外,他们可以“通过部署具有升高特权的恶意工作负载来淘汰数据,从而绕过Argo CD API强制执行的任何敏感数据的任何修订”。
这意味着,即使停用了管理员角色,也证明这是攻击者升级为管理员的障碍。
软件更新
该缺陷会影响版本1.4.0,直到2.1.14、2.2.8和2.3.3,并且已在修补版本2.3.4、2.2.9和2.1.15中解决。
咨询表明,应停用匿名访问,直到用户可以应用更新为止。
但是,敦促用户“尽快更新其系统,无论您在您的实例中是否启用了匿名访问权限”。
用户可以通过查询是否启用匿名访问argocd-cm安装名称空间中的ConfigMap。
这脆弱性是由伦敦科技公司G-Research的Mark Pim和Andrzej Hajto发现的。
这些更新还解决了中等严重性(CVSS 4.3)错误,允许具有存储库写入访问权限的恶意用户从Argo CD的回购服务器中泄漏敏感文件。
显然,该漏洞是最初发现的,这是3月份发布的一系列审计步道的一部分,并在补丁到达之前由软件工程师Michael Crenshaw独立地重新发现。
