Openshift-gitops-argocd-cli
Уязвимости
5
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.01176
Распределение по критичности
Критический
0
Высокий
1
Средний
4
Низкий
0
Также сопоставлено как (исходные строки): openshift-gitops-argocd-cli
Топ уязвимостей
CVE-2024-21661Argo CD — это декларативный инструмент непрерывной поставки GitOps для Kubernetes. В версиях до 2.8.13, 2.9.9 и 2.10.4 злоумышленник может использовать критическую уязвимость в приложении для инициирования атаки типа «отказ в обслуживании» (DoS), делая приложение неработоспособным и затрагивая всех пользователей. Проблема возникает из-за небезопасного манипулирования массивом в многопоточной среде. Уязвимость уходит корнями в код приложения, где массив изменяется во время итерации по нему. Это классическая ошибка программирования, но она становится критически опасной при выполнении в многопоточной среде. Когда два потока взаимодействуют с одним и тем же массивом одновременно, приложение аварийно завершает работу. Это уязвимость типа «отказ в обслуживании» (DoS). Любой злоумышленник может непрерывно выводить приложение из строя, делая невозможным доступ к сервису для законных пользователей. Проблема усугубляется тем, что она не требует аутентификации, расширяя круг потенциальных злоумышленников. Версии 2.8.13, 2.9.9 и 2.10.4 содержат исправление для этой проблемы.
CVE-2024-29893Argo CD - это декларативный инструмент непрерывной доставки GitOps для Kubernetes. Во всех версиях ArgoCD, начиная с v2.4, есть ошибка, из-за которой компонент ArgoCD repo-server уязвим для атаки типа "отказ в обслуживании". В частности, можно обрушить компонент repo server из-за ошибки нехватки памяти, указав ему на вредоносный реестр Helm. Функция loadRepoIndex() в пакете helm ArgoCD не ограничивает размер или время при получении данных. Она получает их и создает байтовый срез из полученных данных за один раз. Если реестр реализован для непрерывной отправки данных, репозиторный сервер будет продолжать выделять память, пока она не закончится. Патч для этой уязвимости был выпущен в версиях v2.10.3, v2.9.8 и v2.8.12.
CVE-2023-50726Argo CD — это декларативный инструмент непрерывной доставки GitOps для Kubernetes. «Локальная синхронизация» — это функция Argo CD, которая позволяет разработчикам временно переопределять манифесты приложения локально определенными манифестами. Использование этой функции обычно должно быть ограничено пользователями, которым доверяют, поскольку она позволяет пользователю обходить любую защиту слияния в git. Ошибка неправильной проверки позволяет пользователям, у которых есть привилегии `create`, но нет привилегий `override`, синхронизировать локальные манифесты при создании приложения. Все остальные ограничения, включая ограничения AppProject, по-прежнему действуют. Единственное ограничение, которое не действует, заключается в том, что манифесты поступают из некоторого утвержденного источника git/Helm/OCI. Ошибка была внесена в 1.2.0-rc1, когда была добавлена функция локальной синхронизации манифестов. Ошибка была исправлена в версиях Argo CD 2.10.3, 2.9.8 и 2.8.12. Пользователям рекомендуется выполнить обновление. Пользователи, которые не могут выполнить обновление, могут снизить риск обхода защиты ветвей, удалив доступ RBAC `applications, create`. Единственный способ устранить проблему без удаления доступа RBAC — это выполнить обновление до исправленной версии.
CVE-2024-21662Argo CD — это декларативный инструмент непрерывной поставки GitOps для Kubernetes. В версиях до 2.8.13, 2.9.9 и 2.10.4 злоумышленник может эффективно обойти ограничение скорости и защиту от brute force-атак, используя слабый механизм на основе кеша приложения. Эту лазейку в безопасности можно объединить с другими уязвимостями для атаки на учетную запись администратора по умолчанию. Этот недостаток подрывает исправление для CVE-2020-8827, предназначенное для защиты от brute force-атак. Защита приложения от brute force основана на механизме кеширования, который отслеживает попытки входа в систему для каждого пользователя. Этот кеш ограничен значением `defaultMaxCacheSize`, равным 1000 записям. Злоумышленник может переполнить этот кеш, заполнив его попытками входа в систему для разных пользователей, тем самым вытеснив неудачные попытки учетной записи администратора и эффективно сбросив ограничение скорости для этой учетной записи. Это серьезная уязвимость, которая позволяет злоумышленникам выполнять brute force-атаки с повышенной скоростью, особенно нацеленные на учетную запись администратора по умолчанию. Пользователям следует обновиться до версии 2.8.13, 2.9.9 или 2.10.4, чтобы получить исправление.
CVE-2024-21652Argo CD — это декларативный инструмент непрерывной поставки GitOps для Kubernetes. В версиях до 2.8.13, 2.9.9 и 2.10.4 злоумышленник может использовать цепочку уязвимостей, включая уязвимость типа «отказ в обслуживании» (DoS) и слабость хранения данных в памяти, чтобы эффективно обойти защиту приложения от brute force login. Это критическая уязвимость безопасности, которая позволяет злоумышленникам обойти механизм защиты от brute force login. Они могут не только вывести из строя сервис, затронув всех пользователей, но и совершать неограниченное количество попыток входа в систему, что повышает риск взлома учетной записи. Версии 2.8.13, 2.9.9 и 2.10.4 содержат исправление для этой проблемы.