Sealos<4.2.0 RBAC权限配置不当漏洞
漏洞描述
Sealos 是一个以 Kubernetes 为内核的开源云操作系统,用于部署和管理 Kubernetes 集群。
Sealos 4.2.0之前版本中由于缺少用户对集群的访问控制,具有 Sealos 访问权限的攻击者可获得 Sealos 所在集群的控制权限,如启动/停止服务、创建/删除资源等,同时可以操纵集群中其它的pod(调度单元)、容器等资源,例如访问敏感数据、修改应用程序配置等。
| 漏洞名称 | Sealos<4.2.0 RBAC权限配置不当漏洞 |
|---|---|
| 漏洞类型 | 访问控制不当 |
| 发现时间 | 2023-06-30 |
| 漏洞影响广度 | 一般 |
| MPS编号 | MPS-7zk5-xms4 |
| CVE编号 | CVE-2023-33190 |
| CNVD编号 | - |
影响范围
Sealos@[1.0.0, 4.2.0)
修复方案
升级Sealos到 4.2.0 或更高版本
官方已发布补丁:https://github.com/labring/sealos/commit/0eb07c460a0ff78397600900cb6f41355f9da64a
参考链接
https://www.oscs1024.com/hd/MPS-7zk5-xms4
https://nvd.nist.gov/vuln/detail/CVE-2023-33190
https://github.com/labring/sealos/security/advisories/GHSA-74j8-w7f9-pp62
https://github.com/labring/sealos/commit/b1b01df4b9ab255fbd25c1f5d28b8b19f19812e4
https://github.com/labring/sealos/commit/0eb07c460a0ff78397600900cb6f41355f9da64a
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
版本动态 | SolidUI 0.1.0 版本发布
背景 随着文本生成图像的语言模型兴起,SolidUI想帮人们快速构建可视化工具,可视化内容包括2D,3D,3D场景,从而快速构三维数据演示场景。SolidUI 是一个创新的项目,旨在将自然语言处理(NLP)与计算机图形学相结合,实现文生图功能。通过构建自研的文生图语言模型,SolidUI 利用 RLHF (Reinforcement Learning Human Feedback) 流程实现从文本描述到图形生成的过程。 https://github.com/CloudOrc/SolidUI/ SolidUI 0.1.0 版本简介 SolidUI 0.1.0 版本主要增加功能,登录、项目管理、数据源管理、设计管理。各个模块文档,测试用例,github action。 发版清单 功能 登录:登录信息,预置用户 数据源管理:数据类型管理,编辑数据源,单行删除数据源,添加数据源,数据源过期 项目管理:添加项目,查询项目列表,编辑项目名,预览 设计管理:创建场景,创建页,创建图例,选择数据源,输入 SQL 查询语句,保存页面, 预览场景,编辑场景名称,删除场景,编辑页名称,删除页,编辑图例名称,...
- 下一篇
Apache Airflow Hive Provider Beeline 远程代码执行漏洞
漏洞描述 Airflow Hive Provider 是Apache Airflow与Apache Hive集成的插件。Beeline 是Hive客户端与服务器进行交互的命令行工具。 Airflow Apache Hive Provider 6.1.1之前版本中由于 hive#_prepare_cli_cmd 方法未对用户参数正确过滤,具有修改 Hive 连接参数权限的攻击者可将包含分号(';')的恶意负载注入到 extra_dejson 参数的 principal 值中,从而在Hive服务器远程执行任意命令。 漏洞名称 Apache Airflow Hive Provider Beeline 远程代码执行漏洞 漏洞类型 代码注入 发现时间 2023-07-02 漏洞影响广度 广 MPS编号 MPS-gyzv-dxst CVE编号 CVE-2023-35797 CNVD编号 - 影响范围 apache-airflow-providers-apache-hive@[1.0.0, 6.1.1) 修复方案 升级apache-airflow-providers-apache-hive到 6.1...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS8安装Docker,最新的服务器搭配容器使用
- Linux系统CentOS6、CentOS7手动修改IP地址
- 2048小游戏-低调大师作品
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- CentOS8编译安装MySQL8.0.19
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS7,8上快速安装Gitea,搭建Git服务器
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
微信收款码
支付宝收款码