Habr[Перевод] Read-only-права в Kubernetes, позволяющие выполнить любой код: разбор критической уязвимости в популярных Helm-чартах
Казалось бы, права на чтение — что с них взять? Оказывается, в Kubernetes разрешение nodes/proxy GET позволяет выполнять любой код в любых подах кластера. Уязвимость уже нашли в популярных Helm-чартах, включая Prometheus, Datadog и Grafana. И да, команда Kubernetes решила это не исправлять. Узнать, как проверить свой кластер
https://habr.com/ru/companies/flant/articles/1001778/
#kubernetes #nodesproxy_GET #API_Server_Proxy #Kubelet_API #verbs #глаголы #HTTP_GET #WebSockets #KEP2862
Read-only-права в Kubernetes, позволяющие выполнить любой код: разбор критической уязвимости в популярных Helm-чартах
Обход авторизации в Kubernetes RBAC позволяет выполнять код в любом поде кластера с правами nodes/proxy GET . Введение В статье рассматривается баг, который позволяет выполнять произвольный код в...