Kubernetes と Kyverno:コンテナ・イメージ検証/署名における深刻な脆弱性が FIX

Container Verification Bug Allows Malicious Images to Cloud Up Kubernetes

2022/12/24 DarkReading — Kyverno の Admission Controller for Container Images に存在する深刻なセキュリティ脆弱性により、クラウド・プロダクション環境へ向けて、悪意の行為者がに多数の不正コードを流し込める可能性があることが判明した。Kyverno Admission Controller は、署名/検証されたコンテナ・イメージのみが、所定の Kubernetes クラスタに取り込まれることを保証するために設計された、署名検証機構を提供している。つまり、暗号化されたコンテナ・イメージには、クリプトマイナ/ルートキット/コンテナ・エスケープ/横移動エクスプロイト・キット/クレデンシャル・スティーラーなどの、さまざまなペイロードが含まる可能性があるため、それらの悪意の行為を回避するための機能として利用されている。

Continue reading “Kubernetes と Kyverno:コンテナ・イメージ検証/署名における深刻な脆弱性が FIX”

Argo CD の脆弱性が FIX:Kubernetes アプリから機密情報が漏れてしまう

Argo CD vulnerability leaks sensitive info from Kubernetes apps

2022/02/04 BleepingComputer — Kubernetes へ向けたアプリケーションのデプロイに、数千の組織が使用している Argo CD の脆弱性により、パスワードや API キーなどの機密情報を開示する、攻撃が行われる可能性がある。この、CVE-2022-24348 として追跡されているパス・トラバーサルの欠陥は、Apiiro の Security Research Team により発見されたものであり、特権昇格/情報開示/横方向移動などの、攻撃につながる可能性がある。

Continue reading “Argo CD の脆弱性が FIX:Kubernetes アプリから機密情報が漏れてしまう”

Google TensorFlow から YAML が脱落:深刻な RCE 脆弱性が原因

Google’s TensorFlow drops YAML support due to code execution flaw

2021/09/05 BleepingComputer — Google が開発した Python ベースの機械学習/人工知能プロジェクトである TensorFlow は、深刻ななコード実行の脆弱性に対処するため、YAML のサポートを終了した。YAML (Yet Another Markup Language) は、コンフィグレーション・ファイルや転送中のデータを扱い、人間が読める形にシリアライズする言語であり、開発者にとって便利な選択肢である。

Continue reading “Google TensorFlow から YAML が脱落:深刻な RCE 脆弱性が原因”