nvd,anchore_overrides
Cncf
Уязвимости
9
Эксплуатируемые
0
Критический
1
Высокий
4
Топ продуктов
Топ уязвимостей
CVE-2023-38495Crossplane — это платформа для создания облачных собственных плоскостей управления без необходимости писать код. В версиях до 1.11.5, 1.12.3 и 1.13.0 внутренний интерфейс изображений Crossplane не проверяет содержимое байтов пакетов Crossplane. Таким образом, Crossplane не обнаруживает, что злоумышленник вмешивался в пакет. Проблема была исправлена в версиях 1.11.5, 1.12.3 и 1.13.0. В качестве обходного пути используйте только изображения из надежных источников и сохраняйте права на редактирование/создание пакетов только для администраторов.
CVE-2021-27098В SPIRE с 0.8.1 по 0.8.4 и до версий 0.9.4, 0.10.2, 0.11.3 и 0.12.1 специально созданные запросы к FetchX509SVID RPC Legacy Node API SPIRE Server могут привести к возможной выдаче X.509 сертификата с URI SAN для SPIFFE ID, который агент не имеет права распространять. Имеются надлежащие средства контроля, требующие, чтобы вызывающий объект предъявил действительный сертификат агента, который уже авторизован для выдачи как минимум одного SPIFFE ID, и запрошенный SPIFFE ID принадлежит тому же домену доверия, прежде чем можно будет вызвать эту уязвимость. Эта проблема была исправлена в SPIRE версиях 0.8.5, 0.9.4, 0.10.2, 0.11.3 и 0.12.1.
CVE-2020-8661CNCF Envoy до версии 1.13.0 может потреблять чрезмерное количество памяти при внутреннем ответе на конвейерные запросы.
CVE-2020-8659CNCF Envoy до версии 1.13.0 может потреблять чрезмерное количество памяти при проксировании HTTP/1.1 запросов или ответов с большим количеством небольших (то есть 1 байт) фрагментов.
CVE-2020-8664CNCF Envoy до версии 1.13.0 имеет неправильный контроль доступа при использовании SDS с комбинированным контекстом проверки. Использование одного и того же секрета (например, доверенного ЦС) для многих ресурсов вместе с комбинированным контекстом проверки может привести к тому, что «статическая» часть контекста проверки не будет применена, даже если она была видна в активном дампе конфигурации.
CVE-2021-27099В SPIRE до версий 0.8.5, 0.9.4, 0.10.2, 0.11.3 и 0.12.1 Node Attestor "aws_iid" неправильно нормализует путь, предоставляемый через функцию шаблонизации ID агента, что может позволить выдать произвольный SPIFFE ID в том же домене доверия, если злоумышленник контролирует значение тега EC2 до аттестации, и аттестатор настроен для шаблонизации ID агента, где значение тега является последним элементом в пути. Эта проблема была исправлена в SPIRE версиях 0.11.3 и 0.12.1.
CVE-2019-9946Cloud Native Computing Foundation (CNCF) CNI (Container Networking Interface) 0.7.4 имеет неправильную конфигурацию сетевого брандмауэра, которая влияет на Kubernetes. Плагин CNI 'portmap', используемый для настройки HostPorts для CNI, вставляет правила в начало цепочек nat iptables; которые имеют приоритет над цепочкой KUBE-SERVICES. Из-за этого правило HostPort/portmap может соответствовать входящему трафику, даже если в цепочке позже были более подходящие, более конкретные правила определения службы, такие как NodePorts. Проблема исправлена в CNI 0.7.5 и Kubernetes 1.11.9, 1.12.7, 1.13.5 и 1.14.0.
CVE-2025-67499Плагин для карт CNI позволяет контейнерам эмулировать открытие порта-хостинга, перенаправив этот трафик в контейнер. Версии 1.6.0 до 1.8.0 непреднамеренно перенаправляют весь трафик с одним и тот же порт назначения, что и порт-хостинг, когда плагин с портарифной картой с кондиционирован бэкэндом, таким образом игнорируя IP-адрес назначения. Это включает в себя движение, не предназначенное для самого узла, то есть движение в контейнеры, размещенные на узде. Контейнеры, которые запрашивают пересылку HostPort, могут перехватывать весь трафик, предназначенный для этого порта. Это требует, чтобы плагин portmap был явно настроен для использования backend notables. Эта проблема исправлена в версии 1.9.0. Чтобы обойти, настройте плагин для карт карты, чтобы использовать бэкэнд iptables. У него нет такой уязвимости.
CVE-2023-37900Crossplane - это фреймворк для создания облачных плоскостей управления без необходимости написания кода. В версиях до 1.11.5, 1.12.3 и 1.13.0 пользователь с высокими привилегиями может создать пакет, ссылающийся на произвольно большое изображение, которое Crossplane затем будет анализировать, что может привести к исчерпанию всей доступной памяти и, следовательно, к уничтожению контейнера OOMKilled. Влияние ограничено высокими привилегиями, необходимыми для создания пакета, и характером контроллера с окончательной согласованностью. Эта проблема исправлена в версиях 1.11.5, 1.12.3 и 1.13.0.