Уязвимость декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- отключение сегментирования в контроллере приложений;
- отключение функции «apps-in-any-namespace»;
- запуск только одной реплики контроллера;
- ограничение пространств имен приложений AppProjects только существующими и ранее настроенными.
Использование рекомендаций:
Для Argo CD:
https://github.com/argoproj/argo-cd/security/advisories/GHSA-6p4m-hw2h-6gmw
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-22736
| Балл | 7.1 — высокая опасность |