PT-2022-3260 · Argo Cd · Argo Cd
Adam Korczynski
+1
·
Publicado
2022-06-15
·
Atualizado
2024-08-21
·
CVE-2022-31016
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões 0.7.0 e posteriores do Argo CD
Versões anteriores à 2.1.16 do Argo CD
Versões anteriores à 2.2.10 do Argo CD
Versões anteriores à 2.3.5 do Argo CD
Versões anteriores à 2.4.1 do Argo CD
Descrição
O problema está relacionado a um bug de consumo descontrolado de memória no Argo CD, permitindo que um usuário mal-intencionado autorizado cause a falha do serviço do servidor de repositório, resultando em uma negação de serviço. O invasor deve ser um usuário autenticado do Argo CD autorizado a implantar aplicativos a partir de um repositório que contenha (ou possa ser configurado para conter) um arquivo de grande porte.
Recomendações
Para as versões 0.7.0 e posteriores, atualize para a versão 2.1.16 ou posterior.
Para versões anteriores à 2.1.16, atualize para a versão 2.1.16 ou posterior.
Para versões anteriores à 2.2.10, atualize para a versão 2.2.10 ou posterior.
Para versões anteriores à 2.3.5, atualize para a versão 2.3.5 ou posterior.
Para versões anteriores à 2.4.1, atualize para a versão 2.4.1 ou posterior.
Como solução alternativa temporária, considere limitar quem pode configurar repositórios, quais repositórios são permitidos e quem tem acesso de envio (push) a esses repositórios.
Após a atualização, ajuste o parâmetro de configuração
reposerver.max.combined.directory.manifests.size para limitar o tamanho total máximo dos arquivos .yaml/.yml/.json em aplicativos do tipo diretório.Exploit
Correção
Allocation of Resources Without Limits
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Argo Cd