Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Oto bomba YAML-owa potrafi zniszczyć API Kubernetesa
Podatność XML Bomb (aka Billion Laughs Attack) być może jest Wam znana. Taki prosty XML, powoduje powstanie w pamięci miliarda lolów:
Ale może mniej osób zna odmianę tego problemu w YAML-u. W Kubernetesie (czy dokładniej oferowanym przez ten produkt API) zgłoszono właśnie podatność YAML Bomb:
CVE-2019-11253 is a YAML parsing vulnerability in the kube-apiserver, allowing users sending malicious YAML payloads to cause kube-apiserver to consume excessive amounts of CPU and memory, potentially crashing and becoming unavailable.
Payload, który atakujący może wysłać do API wygląda tak:
Udanego łatania, i uważajcie na taki problem w swoich API.
–ms