Oto bomba YAML-owa potrafi zniszczyć API Kubernetesa

Podatność XML Bomb (aka Billion Laughs Attack) być może jest Wam znana. Taki prosty XML, powoduje powstanie w pamięci miliarda lolów:

XML Bomb

Ale może mniej osób zna odmianę tego problemu w YAML-u. W Kubernetesie (czy dokładniej oferowanym przez ten produkt API) zgłoszono właśnie podatność YAML Bomb:

CVE-2019-11253 is a YAML parsing vulnerability in the kube-apiserver, allowing users sending malicious YAML payloads to cause kube-apiserver to consume excessive amounts of CPU and memory, potentially crashing and becoming unavailable.

Payload, który atakujący może wysłać do API wygląda tak:

YAML Bomb

Udanego łatania, i uważajcie na taki problem w swoich API.

–ms