ГлавнаяБаза уязвимостей БДУ → BDU:2022-04887
10критическая

BDU:2022-04887

Уязвимость инструмента автоматизации развертывания приложений в Kubernetes ArgoCD, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю проводить спуфинг-атаки
Опубликовано: 2022-08-10
Описание

Уязвимость инструмента автоматизации развертывания приложений в Kubernetes ArgoCD связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить спуфинг-атаки

Затрагиваемое ПО и версии
Argo CD (от 0.4.0 до 2.2.11)Argo CD (от 2.3.0 до 2.3.6)Argo CD (от 2.4.0 до 2.4.5)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Обновление программного обеспечения до версий 2.2.11, 2.3.6, 2.4.5 и выше

Компенсирующие меры:
- установить поле oidc.config.rootCA в argocd-cm ConfigMap.

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/argoproj/argo-cd/releases/tag/v2.3.6https://github.com/argoproj/argo-cd/releases/tag/v2.4.5https://github.com/argoproj/argo-cd/security/advisories/GHSA-7943-82jg-wmw5
Проверьте безопасность своего сайта и почты → Полная проверка домена