https://www.csoonline.com/article/3649350/companies-using-argo-cd-in-development-workflows-should-patch-this-high-risk-flaw.html#tk.rss_all
脆弱性を発見して報告したクラウドアプリケーションセキュリティApiiroの研究者によると、攻撃者は悪意を持って作成されたKubernetesアプリケーションデプロイメント構成ファイルをArgoにフィードし、中央リポジトリサーバーからファイル、環境設定、シークレットトークンを公開する可能性があります。
Argoを使用すると、開発者はデプロイされたアプリケーションを中央のGitリポジトリサーバー内のコードのさまざまな状態と同期させることができます。
「問題のアプリケーションにはさまざまな種類の値を含めることができます。これらのタイプの1つには、ファイル名と、他のファイル内の自己完結型アプリケーションパーツへの相対パスを含めることができます。」
これにより、Argoは、定義されたアプリケーションのコンテキストに、そのアプリケーションに属していないGitサーバー上のディレクトリからファイルをインポートする可能性があります。
これは、攻撃者がアプリケーションの外部にあるvalues.yamlファイルへの連結された直接呼び出しを組み立てることができ、他のアプリケーションが秘密の機密値を保存するために使用することを意味します。
「アプリケーションを作成または更新する権限を持つ攻撃者が、有効なYAMLを含むファイルへのフルパスを知っているか推測できる場合、悪意のあるHelmチャートを作成して、そのYAMLを値ファイルとして使用することができます。これにより、他の方法ではアクセスできないデータにアクセスできます。 Argo開発者へのアクセス」は彼らのアドバイザリで説明されています。
開発ワークフローでArgoCDを使用している企業は、このリスクの高い欠陥であるLucianConstantinにパッチを適用する必要があります。
security summary
コメント