API NEWS | 三个Argo CD API漏洞
欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
关于三个Argo CD API漏洞的文章
Gartner对API安全的看法
分布式标识是现代API安全的关键
关于三个Argo CD API漏洞的文章
Argo CD是Kubernetes中最受欢迎和增长最快的GitOps工具。当遵循GitOps部署模式时,Argo CD可以轻松定义一组应用程序,它们在存储库中具有所需的状态以及它们应该部署的位置。部署后,Argo CD会持续监控状态,甚至可以捕捉配置漂移。
一篇由Security Boulevard提供的漏洞文章,涵盖了Argo CD部署平台中的三个独立的API漏洞。
第一个漏洞 (CVE-2023-22736)是一个允许绕过授权的严重漏洞。Argo CD软件中存在一个漏洞,会使得恶意用户在没有得到授权的情况下,在系统允许范围外部署应用程序。这个漏洞只影响启用了“任何命名空间中的应用程序”功能的用户,并且从2.5.0版本开始就存在。但是,现在Argo CD发布了2.5.8和2.6.0-rc5补丁来修复这个问题。如果您使用的是Argo CD,请及时升级到最新版本以保护您的系统安全。
第二个漏洞 (CVE-2023-22482)是由不当授权导致的严重问题。由于Argo CD在验证令牌时没有检查受众声明,导致攻击者可以使用无效的令牌来获取权限。如果您使用的OIDC提供商同时为其他用户提供服务,那么您的系统将接受来自这些用户的令牌,并根据用户组权限授予对应的权限,这就非常危险了。该漏洞影响所有从v1.8.2开始的Argo CD版本。为了修复这个问题,Argo CD发布了版本2.6.0-rc5、2.5.8、2.4.20和2.3.14中的补丁,引入了一个新的功能——“允许受众”,允许用户指定他们想要允许的受众。如果您正在使用Argo CD,请尽快更新到最新版本并配置好“允许受众”,以保护您的系统。
第三个漏洞(CVE-2023-25163)是Argo CD软件中的一个问题,会导致存储库访问凭据泄露。这个漏洞的严重程度中等,会在未能正确清理输出时,泄露敏感信息。此问题影响所有从v2.6.0-rc1开始的Argo CD版本。如果您正在使用受影响的版本,建议尽快升级到更新的版本来修复这个漏洞,以保护您的系统安全。
最近的这些漏洞再次强调了API安全性的重要性,也显示出公司必须高度关注保护其API。随着API在现代应用程序中的广泛使用,攻击者越来越频繁地利用API漏洞来入侵系统。因此,保护API已经成为任何组织安全策略中的至关重要的一部分,需要采取安全措施和最佳实践来确保数据和系统的安全。只有这样,才能保证企业在数字化时代获得最高水平的安全保障。
关于Gartner 对 API 安全的看法
Gartner副总裁分析师兼软件工程研究主管Mark O'Neill对最近发布的第4份年度API现状报告的看法,该报告收集了来自 850多名全球开发人员的意见。
O'Neill的第一个观察结果是,组织在其资产中部署多个API网关(及多个云提供商)。这使得API策略的集中管理成为一个复杂的问题,因为分布式环境缺乏良好的联合管理解决方案。因此,团队不得不独立管理多个网关。
O'Neill的第二个观察结果是,API管理和安全性因使用的API类型种类繁多而变得复杂,比如:REST、Webhooks、Websockets、SOAP、GraphQL、Kafka、AsyncAPI、gRPC。从安全角度来看,特别值得注意的是GraphQL,它允许跨数据进行深入且广泛的查询,因此很难分辨要保护什么数据。另外,GraphQL也是无状态显示的,因此安全团队必须正确实施身份验证和授权。
在资产中部署多个API网关可能会带来以下缺点:
复杂性增加:多个API网关的部署可能会导致系统复杂性的增加,包括配置、管理、监控和维护等方面的复杂性,这可能会增加管理工作量,并可能导致更多的故障和问题。
安全性降低:多个API网关的部署可能会增加安全风险。对于每个API网关的维护和更新都需要进行独立的安全审计和更新,这可能会导致遗漏漏洞或错误配置的情况出现,从而降低系统的整体安全性。
性能受影响:多个API网关的部署可能会导致性能降低,因为每个API网关都需要处理网络和访问控制等方面的开销,这可能会增加延迟和资源消耗。
难以维护:使用多个API网关也可能会使维护变得困难,因为不同的API网关可能使用不同的技术和配置方法,这可能会导致混乱和错误的配置。
O'Neill对API安全有以下建议:
确保管理者拥有组织内API的最新清单,这包括上游和下游API以及内部和外部 API。
采用API标准(如开放银行计划)来改善整体安全状况。
小阑解读,通过以下安全手段,可以改善提高系统的性能、可用性和安全性:
优化架构:通过进行系统设计和架构优化,可以将多个API网关合并为一个更简单、更统一的API网关。这有利于降低复杂性、提高安全性、提升性能,并且更易于管理和维护。
集中管理:使用集中式API管理工具,可以减少重复的配置和管理工作,以及统一审计和更新API网关。这样可以提高管理效率、降低出错率并加强整体安全性。
实时监控:使用实时监控工具可以对所有API网关进行统一的监控和报告。这样可以快速发现和解决问题,从而提高系统的可用性和稳定性。
强化安全:采取多层次的安全策略,包括防火墙、入侵检测、访问控制和数据加密等技术,可以增强系统的整体安全性。此外,还可以使用完备的安全审计和漏洞扫描等手段,确保系统的安全性得到全面保障。
预计未来的API管理工具将会继续解决身份验证和授权方面的挑战,同时还会出现API特定的“扫描和发现”工具。此外,安全工具还可以提供运行时保护功能,微网关则可以在一定程度上防止API攻击。换句话说,未来开发API时,需要使用一些专门的工具来解决涉及身份验证、授权、安全等问题,从而提高API的安全性和可靠性。同时,通过使用这些特定的工具和技术,可以更好地发现和解决API中存在的安全漏洞或问题,确保API系统稳定、可靠、安全。
关于分布式标识是现代API安全的关键
来自Curity的分享,是一篇关于分布式标识的文章。分布式标识确实是现代API安全的关键之一。其主要作用是为了确保API调用者的身份验证和授权。传统的单点登录方案已经不能满足云计算、微服务、容器化等复杂环境下API的安全需求。
在分布式系统中,API调用者身份的认证和授权需要跨越多个服务边界进行验证,因此需要一个支持分布式场景的标识体系。具体而言,分布式标识需要包括以下几个方面:
全局唯一性:分布式标识必须是全局唯一的,这意味着每个请求都必须带有唯一标识以便于统计、审计和识别。
安全性:分布式标识必须是安全的,不可伪造的,以保证认证和授权的合法性。例如,使用OAuth 2.0协议可以通过令牌机制提供安全的认证和授权服务。
可扩展性:分布式标识必须是可扩展的,在系统规模扩大的情况下,它能够无缝地融入到整个系统中,以满足业务需求。
身份分配在实践中存在一些挑战,其中包括:
复杂的身份管理:身份分配通常涉及到复杂的身份管理工作,例如用户帐号和角色定义、权限管理等。这些管理工作需要定期更新和维护,以确保系统的安全性和完整性。
身份认证难度:身份分配需要执行正确的身份认证,但不同类型的身份认证可以有不同的挑战。例如,基于口令的认证可能面临密码泄露或者强度不足等问题,而基于生物特征的认证可能面临误识别和欺骗攻击等问题。
信任建立:身份分配需要建立各个系统间的信任关系,并确保身份信息的传递是可靠和安全的。这需要使用合适的加密措施以及可靠的身份验证和授权协议。
风险管理:身份分配面临一些风险,例如,身份被盗用、身份信息泄露、未经授权访问等。因此,身份分配需要结合风险管理策略,采取多种安全措施来防范这些风险的出现。
相互兼容:在多个系统或应用程序间实现身份共享和分配时,需要保证各系统之间的互操作性和数据兼容性。这需要使用标准化身份协议和API接口,以确保不同系统之间能够良好地交互和共享身份信息。
分发标识的最佳实践:
采用身份和访问管理(IAM)工具来管理身份:使用IAM工具可以帮助您自动化身份分配和权限控制,从而提高效率和安全性。此外,IAM 工具还支持身份验证、多因素认证、网关和应用程序防火墙等功能。
采用安全标识协议:使用安全标识协议来加强对分发标识的安全性,例如OAuth2.0,OpenID Connect等。这些协议可以帮助您确保分发的标识是可靠、安全的,而不会泄露出去。
推行最小化权限策略:在分发标识时,一定要遵循最小化原则,只分配必需的权限,以减少攻击面。这可以通过基于角色进行权限管理来实现,并使用多层次的安全策略确保分发的身份是具有限制的。
使用公钥加密技术来保护数据:使用公钥加密技术来加密和存储分发标识数据可以保证数据安全,使攻击者更难突破和泄漏。
实现审计与监控: 需要实施审计与监控解决方案来跟踪和记录身份和访问管理活动,以便及时发现并回应安全事件和威胁。
建立标准流程和规范:建立分发标识的流程和规范,包括身份验证、授权程序等,可以帮助保证认证和授权的一致性和完整性。
感谢 APIsecurity.io 提供相关内容
关于星阑
星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。
星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、开放式数据平台、运营与响应能力,解决企业API漏洞入侵、行为异常、数据泄露等核心风险。
API NEWS | 三个Argo CD API漏洞的更多相关文章
- Linkerd 2.10(Step by Step)—将 GitOps 与 Linkerd 和 Argo CD 结合使用
Linkerd 2.10 系列 快速上手 Linkerd v2.10 Service Mesh(服务网格) 腾讯云 K8S 集群实战 Service Mesh-Linkerd2 & Traef ...
- TFS API:三、TFS WorkItem添加和修改、保存
TFS API:三.TFS WorkItem添加和修改.保存 WorkItemStore:表示跟踪与运行 Team Foundation Server的服务器的工作项客户端连接. A.添加工作项 1 ...
- [转]ASP.NET Web API(三):安全验证之使用摘要认证(digest authentication)
本文转自:http://www.cnblogs.com/parry/p/ASPNET_MVC_Web_API_digest_authentication.html 在前一篇文章中,主要讨论了使用HTT ...
- ASP.NET Web API(三):安全验证之使用摘要认证(digest authentication)
在前一篇文章中,主要讨论了使用HTTP基本认证的方法,因为HTTP基本认证的方式决定了它在安全性方面存在很大的问题,所以接下来看看另一种验证的方式:digest authentication,即摘要认 ...
- struts2的action访问servlet API的三种方法
学IT技术,就是要学习... 今天无聊看看struts2,发现struts2的action访问servlet API的三种方法: 1.Struts2提供的ActionContext类 Object g ...
- HOOK API(三)—— HOOK 所有程序的 MessageBox
HOOK API(三) —— HOOK 所有程序的 MessageBox 0x00 前言 本实例要实现HOOK MessageBox,包括MessageBoxA和MessageBoxW,其实现细节与H ...
- 【高德地图API】从零开始学高德JS API(三)覆盖物——标注|折线|多边形|信息窗口|聚合marker|麻点图|图片覆盖物
原文:[高德地图API]从零开始学高德JS API(三)覆盖物——标注|折线|多边形|信息窗口|聚合marker|麻点图|图片覆盖物 摘要:覆盖物,是一张地图的灵魂.有覆盖物的地图,才是完整的地图.在 ...
- 阿里云API网关(11)API的三种安全认证方式
网关指南: https://help.aliyun.com/document_detail/29487.html?spm=5176.doc48835.6.550.23Oqbl 网关控制台: https ...
- Action访问Servlet API的三种方法
一.为什么要访问Servlet API ? Struts2的Action并未与Servlet API进行耦合,这是Struts2 的一个改良,从而方便了单独对Action进行测试.但是对于Web控制器 ...
- HTML5 <Audio>标签API整理(三)
一.浏览器支持 Internet Explorer 9+, Firefox, Opera, Chrome, 和 Safari 都支持 <audio> 元素. 注意: Internet Ex ...
随机推荐
- 原型继承和 Class 继承
涉及面试题: 原型如何实现继承? Class 如何实现继承? Class 本质是什么? ⾸先先来讲下 class ,其实在 JS 中并不存在类, class 只是语法糖,本质还是函数. class P ...
- STM32F407 学习 (0) 各种外设功能 (中)
十.高级定时器 1.重复计数器 如果我们设置重复计数器寄存器 RCR 的值为 N,那么更新事件将在定时器发生 N+1 次上溢或下溢时发生.重复计数器的特性,在控制生成 PWM 信号时很有用. 2. ...
- Smt贴片换料口诀及注意事项
Smt贴片换料口诀及注意事项 一.Smt贴片送料口诀 1.若飞达没料,机器报警,操作员根据机器的提示消警 2.取出缺失飞达料,把用完的料盘取下 3.把备好的物料与换下来的料盘核对,确认无误装飞达 4. ...
- PyG 图神经网络依赖环境安装(Anaconda)
1.默认用户在Anaconda的虚拟环境中已安装Pytorch 2.打开anaconda prompt命令窗, activate "你的虚拟环境名称" 3.在激活后的虚拟环境下输入 ...
- Docker 配置阿里云或腾讯云镜像加速
1.新建 /etc/docker/daemon.json 文件,并写入以下内容: 阿里云按下面配置 sudo tee /etc/docker/daemon.json <<-'EOF' { ...
- windows系统git使用ssh方式和gitee/github进行同步
前言 在从github/gitee远程仓库获取代码时,除了使用https方式,我们还可以使用ssh连接的方式与远程仓库服务器通信,其好处是有时会比https更方便.稳定.快速. 和与普通的linux服 ...
- CF1738EBalance Addicts
CF1738EBalance Addicts 原题: CF1738EBalance Addicts 目录 CF1738EBalance Addicts 题目大意 做法 思路 注意 code 题目大意 ...
- 5219. 【GDOI2018模拟7.10】B
5219. [GDOI2018模拟7.10]B 题目大意: 考试想法: 正解: 代码: 题目大意: 现在有一个字符串 s s s 当 s [ i ] s[i] s[i]为 I I I时 a n s [ ...
- [SDR] GNU Radio 系列教程(十四) —— GNU Radio 低阶到高阶用法的分水岭 ZMQ 的使用详解
目录 1.前言 2.ZMQ 块的类型 3.ZMQ 块的使用 4.DEMO 4.1 同一台电脑上的两个流程图 4.2 不同电脑上的两个流程图 4.3 作为 REQ/REP 服务器的 Python 程序 ...
- 推荐两个AI神器:ChatGPT只需1个标题,2分钟全自动生成PPT!
今天给大家分享两个工具,帮助你全自动生成PPT,接下来以自动化测试为主题,教大家如何2分钟生成好PPT. 1.第一个工具:ChatGPT 1.打开ChatGPT页面,输入prompt,告诉它,让它帮你 ...