Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Oto bomba YAML-owa potrafi zniszczyć API Kubernetesa

07 października 2019, 22:38 | W biegu | 0 komentarzy

Podatność XML Bomb (aka Billion Laughs Attack) być może jest Wam znana. Taki prosty XML, powoduje powstanie w pamięci miliarda lolów:

XML Bomb

Ale może mniej osób zna odmianę tego problemu w YAML-u. W Kubernetesie (czy dokładniej oferowanym przez ten produkt API) zgłoszono właśnie podatność YAML Bomb:

CVE-2019-11253 is a YAML parsing vulnerability in the kube-apiserver, allowing users sending malicious YAML payloads to cause kube-apiserver to consume excessive amounts of CPU and memory, potentially crashing and becoming unavailable.

Payload, który atakujący może wysłać do API wygląda tak:

YAML Bomb

Udanego łatania, i uważajcie na taki problem w swoich API.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz