Cilium
Уязвимости
32
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.00734
Распределение по критичности
Критический
2
Высокий
6
Средний
23
Низкий
1
Также сопоставлено как (исходные строки): cilium
Топ уязвимостей
CVE-2023-27595Cilium — это решение для работы с сетями, наблюдаемости и безопасности с плоскостью данных на основе eBPF. В версии 1.13.0, когда Cilium запускается, есть короткий период, когда программы Cilium eBPF не привязаны к хосту. В течение этого периода хост не реализует ни один из наборов функций Cilium. Это может вызвать нарушение новых установленных соединений в течение этого периода из-за отсутствия балансировки нагрузки или может вызвать обход сетевой политики из-за отсутствия принудительного применения сетевой политики в течение этого окна. Эта уязвимость влияет на любые управляемые Cilium конечные точки на узле (такие как Kubernetes Pods), а также на сетевое пространство имен хоста (включая Host Firewall). Эта уязвимость исправлена в Cilium 1.13.1 или более поздней версии. Выпуски Cilium 1.12.x, 1.11.x и более ранние не затронуты. Известных обходных путей нет.
CVE-2023-39347Cilium — это решение для работы с сетью, обеспечения наблюдаемости и безопасности с плоскостью данных на основе eBPF. Злоумышленник, имеющий возможность обновлять метки pod, может заставить Cilium применять неправильные сетевые политики. Эта проблема возникает из-за того, что при обновлении pod Cilium неправильно использует предоставленные пользователем метки pod для выбора политик, применяемых к рассматриваемой рабочей нагрузке. Это может повлиять на сетевые политики Cilium, использующие пространство имен, учетную запись службы или конструкции кластера для ограничения трафика, сетевые политики Cilium для всего кластера, использующие метки пространства имен Cilium для выбора Pod и сетевые политики Kubernetes. Можно указать несуществующие имена конструкций, которые обходят все сетевые политики, применимые к конструкции. Например, предоставление pod с несуществующим пространством имен в качестве значения метки `io.kubernetes.pod.namespace` приводит к тому, что к рассматриваемому pod не применяются никакие CiliumNetworkPolicy, связанные с пространством имен. Для этой атаки требуется, чтобы злоумышленник имел доступ к API-серверу Kubernetes, как описано в модели угроз Cilium. Эта проблема была решена в: Cilium версий 1.14.2, 1.13.7 и 1.12.14. Пользователям рекомендуется обновиться. В качестве обходного пути можно использовать admission webhook, чтобы предотвратить обновления меток pod для ключей `k8s:io.kubernetes.pod.namespace` и `io.cilium.k8s.policy.*`.
CVE-2024-47825Cilium - это решение для работы с сетью, обеспечения наблюдаемости и безопасности с плоскостью данных на основе eBPF. Начиная с версии 1.14.0 и до версий 1.14.16 и 1.15.10, правило политики, отклоняющее префикс, который шире, чем `/32`, может игнорироваться, если существует правило политики, ссылающееся на более узкий префикс (`CIDRSet` или `toFQDN`), и это более узкое правило политики определяет либо `enableDefaultDeny: false`, либо `- toEntities: all`. Обратите внимание, что правила, определяющие `toEntities: world` или `toEntities: 0.0.0.0/0`, недостаточно, это должна быть сущность `all`. Эта проблема была исправлена в Cilium v1.14.16 и v1.15.10. Поскольку эта проблема затрагивает только политики, использующие `enableDefaultDeny: false` или устанавливающие `toEntities` в `all`, доступны некоторые обходные пути. Пользователям с политиками, использующими `enableDefaultDeny: false`, следует удалить этот параметр конфигурации и явно определить любые необходимые правила разрешения. Для пользователей с политиками исходящего трафика, которые явно указывают `toEntities: all`, используйте `toEntities: world`.
CVE-2022-29179Cilium — это программное обеспечение с открытым исходным кодом для обеспечения и защиты сетевого подключения и балансировки нагрузки между рабочими нагрузками приложений. До версий 1.9.16, 1.10.11 и 1.11.15, если злоумышленнику удается выполнить выход из контейнера, работающего как root, на хосте, где установлен Cilium, злоумышленник может повысить привилегии до администратора кластера, используя учетную запись службы Kubernetes Cilium. Проблема была исправлена, и исправление доступно в версиях 1.9.16, 1.10.11 и 1.11.5. В настоящее время обходные пути отсутствуют.
CVE-2022-29178Cilium — это программное обеспечение с открытым исходным кодом для обеспечения и защиты сетевого подключения и балансировки нагрузки между рабочими нагрузками приложений. Cilium до версий 1.9.16, 1.10.11 и 1.11.15 содержит уязвимость, связанную с неправильными разрешениями по умолчанию. Операционные системы с пользователями, принадлежащими к идентификатору группы 1000, могут получить доступ к API Cilium через доменный сокет Unix, доступный на хосте, где работает Cilium. Это может позволить злоумышленникам поставить под угрозу целостность, а также доступность системы на этом хосте. Проблема была исправлена, и исправление доступно в версиях 1.9.16, 1.10.11 и 1.11.5. Потенциальным обходным путем является изменение DaemonSet Cilium для запуска с определенной командой, которую можно найти в консультативном документе по безопасности GitHub для этой уязвимости.
CVE-2023-41333Cilium — это решение для работы с сетями, наблюдаемости и безопасности с плоскостью данных на основе eBPF. Злоумышленник, имеющий возможность создавать или изменять объекты CiliumNetworkPolicy в определенном пространстве имен, может влиять на трафик во всем кластере Cilium, потенциально обходя применение политик в других пространствах имен. Используя созданный `endpointSelector`, который использует оператор `DoesNotExist` для метки `reserved:init`, злоумышленник может создавать политики, которые обходят ограничения пространства имен и влияют на весь кластер Cilium. Это включает в себя потенциально разрешение или запрет всего трафика. Эта атака требует доступа к серверу API, как описано в разделе «Атакующий Kubernetes API Server» в модели угроз Cilium. Эта проблема была решена в версиях Cilium 1.14.2, 1.13.7 и 1.12.14. В качестве обходного решения можно использовать веб-перехватчик допуска для предотвращения использования `endpointSelectors`, которые используют оператор `DoesNotExist` для метки `reserved:init` в CiliumNetworkPolicies.
CVE-2023-27594Cilium — это решение для работы с сетями, наблюдаемости и безопасности с плоскостью данных на основе eBPF. До версий 1.11.15, 1.12.8 и 1.13.1, при определенных условиях, Cilium может ошибочно приписывать исходный IP-адрес трафика кластеру, идентифицируя внешний трафик как исходящий от хоста, на котором работает Cilium. Как следствие, сетевые политики для этого кластера могут быть обойдены, в зависимости от конкретных включенных сетевых политик.
Эта проблема проявляется только в том случае, если Cilium маршрутизирует трафик IPv6 и для маршрутизации трафика к подам используются NodePorts. Маршруты IPv6 и конечных точек отключены по умолчанию.
Проблема была исправлена и доступна в версиях 1.11.15, 1.12.8 и 1.13.1. В качестве обходного пути отключите маршрутизацию IPv6.
CVE-2024-28248Cilium — это решение для работы с сетью, наблюдаемости и безопасности с плоскостью данных на основе eBPF. Начиная с версии 1.13.9 и до версий 1.13.13, 1.14.8 и 1.15.2, политики HTTP Cilium применяются непоследовательно ко всему трафику в рамках политик, что приводит к неправильной и периодической пересылке трафика HTTP, когда он должен быть отброшен. Эта проблема была исправлена в Cilium 1.15.2, 1.14.8 и 1.13.13. Обходных решений для этой проблемы нет.
CVE-2024-42488Cilium - это сетевое решение, решение для наблюдаемости и безопасности с плоскостью данных на основе eBPF. До версий 1.14.14 и 1.15.8 состояние гонки в агенте Cilium может привести к тому, что агент будет игнорировать метки, которые должны быть применены к узлу. Это, в свою очередь, может привести к тому, что CiliumClusterwideNetworkPolicies, предназначенные для узлов с игнорируемой меткой, не будут применяться, что приведет к обходу политики. Эта проблема была исправлена в Cilium v1.14.14 и v1.15.8. Поскольку основная проблема зависит от состояния гонки, пользователи, не имеющие возможности выполнить обновление, могут перезапустить агент Cilium на затронутых узлах до тех пор, пока не будет подтверждено, что затронутые политики работают должным образом.
CVE-2024-28860Cilium - это решение для работы с сетью, наблюдаемости и безопасности с плоскостью данных на основе eBPF. Пользователи прозрачного шифрования IPsec в Cilium могут быть уязвимы для криптографических атак, которые делают прозрачное шифрование неэффективным. В частности, Cilium уязвим для атак с выбранным открытым текстом, восстановлением ключа, атак воспроизведения со стороны злоумышленника, находящегося посередине. Эти атаки возможны из-за коллизии порядкового номера ESP, когда несколько узлов настроены с одним и тем же ключом. Исправленные версии Cilium используют уникальные ключи для каждого туннеля IPsec, установленного между узлами, что устраняет все вышеперечисленные атаки. Эта уязвимость исправлена в версиях 1.13.13, 1.14.9 и 1.15.3.
CVE-2025-23047Cilium — это решение для сетевого взаимодействия, наблюдаемости и безопасности с использованием dataplane на основе eBPF. Небезопасное значение заголовка `Access-Control-Allow-Origin` может привести к раскрытию конфиденциальных данных для пользователей Cilium версий 1.14.0 до 1.14.7, 1.15.0 до 1.15.11 и 1.16.0 до 1.16.4, которые развертывают Hubble UI с использованием либо Cilium CLI, либо через Helm chart Cilium. Пользователь, имеющий доступ к экземпляру Hubble UI, затронутым этой проблемой, может раскрыть детали конфигурации кластера Kubernetes, который Hubble UI мониторит, включая имена узлов, IP-адреса и другие метаданные о рабочих нагрузках и конфигурации сети кластера. Чтобы эта уязвимость могла быть использована, жертве сначала необходимо было бы посетить вредоносную страницу. Эта проблема исправлена в Cilium v1.14.18, v1.15.12 и v1.16.5. В качестве обходного пути пользователи, которые развертывают Hubble UI с использованием шаблона Helm Cilium, могут удалить заголовки CORS из шаблона Helm, как показано в патче из коммита a3489f190ba6e87b5336ee685fb6c80b1270d06d.
CVE-2024-37307Cilium — это решение для сети, наблюдаемости и безопасности с плоскостью данных на основе eBPF. Начиная с версии 1.13.0 и до версий 1.13.7, 1.14.12 и 1.15.6, вывод `cilium-bugtool` может содержать конфиденциальные данные, когда инструмент запускается (с установленным флагом `--envoy-dump`) против развертываний Cilium с включенным прокси-сервером Envoy. Затронуты пользователи функций TLS inspection, Ingress с терминированием TLS, Gateway API с терминированием TLS и сетевых политик Kafka с фильтрацией ключей API. Конфиденциальные данные включают сертификат CA, цепочку сертификатов и закрытый ключ, используемые Cilium HTTP Network Policies, а также при использовании Ingress/Gateway API и ключи API, используемые в сетевой политике, связанной с Kafka. `cilium-bugtool` — это инструмент отладки, который обычно вызывается вручную и не запускается во время нормальной работы кластера Cilium. Эта проблема была исправлена в Cilium v1.15.6, v1.14.12 и v1.13.17. Обходного пути для этой проблемы нет.
CVE-2023-29002Cilium — это решение для работы в сети, наблюдаемости и безопасности с плоскостью данных на основе eBPF. При запуске в режиме отладки Cilium будет регистрировать содержимое пространства имен `cilium-secrets`. Это может включать такие данные, как закрытые ключи TLS для ресурсов Ingress и GatewayAPI. Злоумышленник, имеющий доступ к отладочному выводу из контейнеров Cilium, может использовать полученные выходные данные для перехвата и изменения трафика в затронутый кластер и из него. Вывод конфиденциальной информации будет происходить при перезапуске агента Cilium, при изменении секретов в пространстве имен и при создании ресурсов Ingress или GatewayAPI. Эта уязвимость устранена в выпусках Cilium 1.11.16, 1.12.9 и 1.13.2. Пользователям, которые не могут выполнить обновление, следует отключить режим отладки.
CVE-2024-28250Cilium — это решение для работы с сетью, наблюдаемости и безопасности с плоскостью данных на основе eBPF. Начиная с версии 1.14.0 и до версий 1.14.8 и 1.15.2, в кластерах Cilium с включенным WireGuard и трафиком, соответствующим политикам уровня 7, трафик, подходящий для Wireguard, который отправляется между прокси-сервером Envoy узла и pod-ами на других узлах, отправляется незашифрованным, а трафик, подходящий для Wireguard, который отправляется между прокси-сервером DNS узла и pod-ами на других узлах, отправляется незашифрованным. Эта проблема была решена в Cilium 1.14.8 и 1.15.2 в режиме собственной маршрутизации (`routingMode=native`) и в Cilium 1.14.4 в режиме туннелирования (`routingMode=tunnel`). Обратите внимание, что в режиме туннелирования для `encryption.wireguard.encapsulate` должно быть установлено значение `true`. Обходных решений для этой проблемы нет.
CVE-2024-28249Cilium — это решение для работы с сетью, наблюдаемости и безопасности с плоскостью данных на основе eBPF. До версий 1.13.13, 1.14.8 и 1.15.2 в кластерах Cilium с включенным IPsec и трафиком, соответствующим политикам уровня 7, трафик, подходящий для IPsec, между прокси-сервером Envoy узла и pod-ами на других узлах отправляется незашифрованным, а трафик, подходящий для IPsec, между прокси-сервером DNS узла и pod-ами на других узлах отправляется незашифрованным. Эта проблема была решена в Cilium 1.15.2, 1.14.8 и 1.13.13. Обходных решений для этой проблемы нет.
CVE-2024-52529Cilium — это решение для работы в сети, наблюдаемости и безопасности с плоскостью данных на основе eBPF. Для пользователей со следующей конфигурацией: 1. Политика разрешения, которая выбирает пункт назначения уровня 3 и диапазон портов `И` 2. Политика разрешения уровня 7, которая выбирает конкретный порт в диапазоне первой политики, принудительное применение уровня 7 не будет применяться к трафику, выбранному политикой уровня 7. Эта проблема затрагивает только пользователей, которые используют функциональность диапазона портов Cilium, которая была представлена в Cilium v1.16. Эта проблема исправлена в PR #35150. Эта проблема затрагивает Cilium v1.16 между v1.16.0 и v1.16.3 включительно. Эта проблема исправлена в Cilium v1.16.4. Пользователям рекомендуется выполнить обновление. Пользователи с сетевыми политиками, которые соответствуют шаблону, описанному выше, могут обойти эту проблему, переписав любые политики, использующие диапазоны портов, чтобы индивидуально указать порты, разрешенные для трафика.
CVE-2025-64715Cilium - это сетевое решение, наблюдательность и безопасность с помощью системы данных на основе eBPF. До версий 1.16.17, 1.17.10 и 1.18.4 CiliumNetworkPolicys, которые используют egress.toGroups.securityGroupsIds для ссылки на идентификаторы групп безопасности AWS, которые не существуют или не подключены к любому сетевому интерфейсу, могут непреднамеренно предоставлять более широкий исходячий доступ, чем предполагалось авторами политики. В таких случаях раздел toCIDRset производной политики не генерируется, что означает, что исходящий трафик может быть разрешен в большее количество пунктов назначения, чем первоначально предполагалось. Этот вопрос был исправлен в версиях 1.16.17, 1.17.10 и 1.18.4. Для этого вопроса нет обходных путей.
CVE-2023-27593Cilium — это решение для работы с сетями, наблюдаемости и безопасности с плоскостью данных на основе eBPF. До версий 1.11.15, 1.12.8 и 1.13.1 злоумышленник, имеющий доступ к поду Cilium agent, может записывать в `/opt/cni/bin` из-за монтирования `hostPath` этого каталога в поду agent. Заменив двоичный файл CNI своим собственным вредоносным двоичным файлом и дождавшись создания новой поды на узле, злоумышленник может получить доступ к базовому узлу.
Проблема была исправлена, и исправление доступно в версиях 1.11.15, 1.12.8 и 1.13.1. Доступны некоторые обходные пути. Kubernetes RBAC следует использовать для запрета пользователям и учетным записям служб доступа `exec` к подам агента Cilium. В случаях, когда пользователю требуется доступ `exec` к подам агента Cilium, но у него не должно быть доступа к базовому узлу, обходной путь невозможен.
CVE-2026-26963Cilium - это сетевое решение, наблюдательность и безопасность с помощью системы данных на основе eBPF. Версии 1.18.0-1.18.5 будут неправильно разрешать трафик из Pods на других узлах при включении Native Routing, WireGuard и Node Encryption. Эта проблема исправлена в версии 1.18.6.
CVE-2025-23028Cilium — это решение для сетевого, наблюдаемости и безопасности с базой данных eBPF. Уязвимость отказа в обслуживании затрагивает версии 1.14.0 до 1.14.7, 1.15.0 до 1.15.11, и 1.16.0 до 1.16.4. В кластере Kubernetes, где Cilium настроен на проксирование DNS-трафика, злоумышленник может сбросить агенты Cilium, отправив специально подготовленный ответ DNS на рабочие нагрузки извне кластера. Для трафика, который разрешен, но без использования политик на основе DNS, база данных продолжит передавать трафик, как это было настроено во время DoS. Для рабочих нагрузок, которые имеют настроенную политику на основе DNS, существующие соединения могут продолжать работать, а новые соединения, созданные без опоры на разрешение DNS, могут продолжать устанавливаться, но новые соединения, которые полагаются на разрешение DNS, могут быть нарушены. Любые изменения конфигурации, затрагивающие пострадавший агент, могут не применяться до тех пор, пока агент не сможет перезагрузиться. Эта проблема исправлена в Cilium v1.14.18, v1.15.12 и v1.16.5. Известные обходные пути отсутствуют.
CVE-2024-25631Cilium — это решение для работы с сетями, наблюдаемости и безопасности с плоскостью данных на основе eBPF. Для пользователей Cilium, которые включили внешний kvstore и прозрачное шифрование Wireguard, трафик между подами в затронутом кластере не шифруется. Эта проблема затрагивает Cilium v1.14 до v1.14.7 и была исправлена в Cilium v1.14.7. Обходного пути для этой проблемы нет.
CVE-2024-25630Cilium — это решение для работы с сетями, наблюдаемости и безопасности с плоскостью данных на основе eBPF. Для пользователей Cilium, которые используют CRD для хранения состояния Cilium (конфигурация по умолчанию) и прозрачное шифрование Wireguard, трафик в/из Ingress и конечных точек здоровья не шифруется. Эта проблема затрагивает Cilium v1.14 до v1.14.7 и была исправлена в Cilium v1.14.7. Обходного пути для этой проблемы нет.
CVE-2023-34242Cilium - это решение для работы в сети, наблюдения и безопасности с плоскостью данных на основе eBPF. До версии 1.13.4, когда Gateway API включен в Cilium, отсутствие проверки пространства имен, в котором создается ReferenceGrant, может привести к тому, что Cilium непреднамеренно получит видимость секретов (включая сертификаты) и служб в разных пространствах имен. Злоумышленник в затронутом кластере может использовать эту проблему для использования секретов кластера, которые не должны быть ему видны, или для связи со службами, к которым у него не должно быть доступа. Функциональность Gateway API отключена по умолчанию. Эта уязвимость устранена в выпуске Cilium 1.13.4. В качестве обходного пути ограничьте создание ресурсов `ReferenceGrant` для пользователей-администраторов с помощью Kubernetes RBAC.
CVE-2023-30851Cilium is a networking, observability, and security solution with an eBPF-based dataplane. This issue only impacts users who have a HTTP policy that applies to multiple `toEndpoints` AND have an allow-all rule in place that affects only one of those endpoints. In such cases, a wildcard rule will be appended to the set of HTTP rules, which could cause bypass of HTTP policies. This issue has been patched in Cilium 1.11.16, 1.12.9, and 1.13.2.
CVE-2025-30163Cilium является решением для сетевого взаимодействия, наблюдаемости и безопасности с сетью, основанной на eBPF. Политики сетевой безопасности на основе узлов (`fromNodes` и `toNodes`) неправильно разрешают трафик от/к неузловым конечным точкам, которые имеют те же метки, что и указано в полях `fromNodes` и `toNodes` политик сетевой безопасности. Политика сетевой безопасности на основе узлов отключена по умолчанию в Cilium. Эта проблема затрагивает: Cilium v1.16 между v1.16.0 и v1.16.7 включительно и v1.17 между v1.17.0 и v1.17.1 включительно. Эта проблема исправлена в Cilium v1.16.8 и v1.17.2. Пользователи могут обойти эту проблему, убедившись, что метки, используемые в полях `fromNodes` и `toNodes`, используются исключительно узлами, а не другими конечными точками.