ГлавнаяБаза уязвимостей БДУ → BDU:2023-00882
8.3критическая

BDU:2023-00882 (CVE-2023-23947)

Уязвимость декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2023-02-28
Описание

Уязвимость декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Затрагиваемое ПО и версии
Red Hat OpenShift GitOps (1.5)Red Hat OpenShift GitOps (1.7)Argo CD (от 2.3.0 до 2.3.17)Argo CD (от 2.4.0 до 2.4.23)Argo CD (от 2.5.0 до 2.5.11)Argo CD (от 2.6.0 до 2.6.2)Red Hat OpenShift GitOps (1.6)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- минимизация пользовательских привилегий;
- изменение конфигурации RBAC для ограничения возможности пользователем обновления любого кластера. Проверить конфигурацию RBAC на наличие таких строк:
p, role:developers, clusters, update, *, allow
p, role:developers, clusters, *, *, allow
p, role:developers, *, update, *, allow
Отозвать clusters, update для любых пользователей, которым этот доступ не нужен;
- ограничение управления ресурсами через AppProjects с использованием полей destinations и clusterResourceWhitelist.

Использование рекомендаций производителя:
Для Argo C:
https://github.com/argoproj/argo-cd/commit/fbb0b99b1ac3361b253052bd30259fa43a520945

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-23947

Оценка CVSS
Балл8.3 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2023-23947https://github.com/argoproj/argo-cd/commit/fbb0b99b1ac3361b253052bd30259fa43a520945https://github.com/argoproj/argo-cd/security/advisories/GHSA-3jfq-742w-xg8jhttps://access.redhat.com/security/cve/cve-2023-23947
Проверьте безопасность своего сайта и почты → Полная проверка домена