Argo CD — это декларативный инструмент непрерывной поставки GitOps для Kubernetes. В версиях до 2.8.13, 2.9.9 и 2.10.4 злоумышленник может …

Argo CD — это декларативный инструмент непрерывной поставки GitOps для Kubernetes. В версиях до 2.8.13, 2.9.9 и 2.10.4 злоумышленник может использовать критическую уязвимость в приложении для инициирования атаки типа «отказ в обслуживании» (DoS), делая приложение неработоспособным и затрагивая всех пользователей. Проблема возникает из-за небезопасного манипулирования массивом в многопоточной среде. Уязвимость уходит корнями в код приложения, где массив изменяется во время итерации по нему. Это классическая ошибка программирования, но она становится критически опасной при выполнении в многопоточной среде. Когда два потока взаимодействуют с одним и тем же массивом одновременно, приложение аварийно завершает работу. Это уязвимость типа «отказ в обслуживании» (DoS). Любой злоумышленник может непрерывно выводить приложение из строя, делая невозможным доступ к сервису для законных пользователей. Проблема усугубляется тем, что она не требует аутентификации, расширяя круг потенциальных злоумышленников. Версии 2.8.13, 2.9.9 и 2.10.4 содержат исправление для этой проблемы.