漏洞描述
Argo CD 是用于 Kubernetes 的声明性 GitOps 持续交付工具,Kubernetes 集群密钥存储在 kubectl.kubernetes.io/last-applied-configuration 注解中。
由于 https://github.com/argoproj/argo-cd/pull/7139 中引入了用户管理集群的标签和注解的功能,具有Argo CD clusters, get RBAC权限的攻击者可通过 API 查看集群注解获取集群密钥,进而窃取或修改集群资源或造成拒绝服务。
| 漏洞名称 | Argo CD 集群密钥泄漏风险 |
|---|---|
| 漏洞类型 | 未授权敏感信息泄露 |
| 发现时间 | 2023-09-08 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-jby0-dvsh |
| CVE编号 | CVE-2023-40029 |
| CNVD编号 | - |
影响范围
github.com/argoproj/argo-cd@[2.2.0, 2.6.15)
github.com/argoproj/argo-cd@[2.7.0, 2.7.14)
github.com/argoproj/argo-cd@[2.8.0, 2.8.3)
修复方案
官方已发布补丁:https://github.com/argoproj/argo-cd/commit/4b2e5b06bff2ffd8ed1970654ddd8e55fc4a41c4
升级github.com/argoproj/argo-cd到 2.6.15、2.7.14 、2.8.3 或更高版本
使用 server-side-apply 替代 kubectl.kubernetes.io/last-applied-configuration 注解更新/部署集群密钥
参考链接
https://www.oscs1024.com/hd/MPS-jby0-dvsh
https://nvd.nist.gov/vuln/detail/CVE-2023-40029
https://github.com/argoproj/argo-cd/security/advisories/GHSA-fwr2-64vr-xv9m
https://github.com/argoproj/argo-cd/pull/7139
https://github.com/argoproj/argo-cd/commit/4b2e5b06bff2ffd8ed1970654ddd8e55fc4a41c4
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
