This media is not supported in your browser
VIEW IN TELEGRAM
trippy – инструмент сочетает в себе функциональность traceroute и ping и предназначен для оказания помощи в анализе сетевых проблем.
📌 Подробнее: https://github.com/fujiapple852/trippy
MemOps🤨
📌 Подробнее: https://github.com/fujiapple852/trippy
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10
Захват кластера Kubernetes через аккаунт Google
Orca Security обнаружила уязвимость в Google Kubernetes Engine (GKE). Она позволяет злоумышленникам с Google-аккаунтом получить контроль над кластером Kubernetes. Проблема получила кодовое название Sys:All. По оценкам, уязвимости подвержены около 250 000 активных кластеров GKE.
Проблема заключается в распространенном заблуждении относительно группы system:authenticated в GKE. Это специальная группа, включающая все аутентифицированные объекты, включая пользователей и учетные записи служб. Многие полагают, что в группу входят только проверенные пользователи, тогда как на самом деле она включает любые аккаунты Google.
Внешние злоумышленники могут использовать свой токен Google OAuth 2.0 для получения контроля над кластером и последующего использования его для различных целей, включая криптомайнинг, атаки типа «отказ в обслуживании» и кражу конфиденциальных данных. К тому же такой подход не оставляет следов, которые можно было бы проследить до конкретного аккаунта Gmail или Google Workspace.
Под ударом различные чувствительные данные, включая токены JWT, ключи API GCP, ключи AWS, учетные данные Google OAuth, закрытые ключи и доступы к реестрам контейнеров, что может привести к внедрению вредоносного кода в образы контейнеров.
Google уже предприняла шаги по устранению недостатка, запретив привязку группы system:authenticated к роли cluster-admin в версиях GKE 1.28 и выше. Компания также рекомендует пользователям не привязывать группу system:authenticated к каким-либо ролям RBAC (role-based access control) и проверить, не связаны ли их кластеры с группой.
MemOps🤨
Orca Security обнаружила уязвимость в Google Kubernetes Engine (GKE). Она позволяет злоумышленникам с Google-аккаунтом получить контроль над кластером Kubernetes. Проблема получила кодовое название Sys:All. По оценкам, уязвимости подвержены около 250 000 активных кластеров GKE.
Проблема заключается в распространенном заблуждении относительно группы system:authenticated в GKE. Это специальная группа, включающая все аутентифицированные объекты, включая пользователей и учетные записи служб. Многие полагают, что в группу входят только проверенные пользователи, тогда как на самом деле она включает любые аккаунты Google.
Внешние злоумышленники могут использовать свой токен Google OAuth 2.0 для получения контроля над кластером и последующего использования его для различных целей, включая криптомайнинг, атаки типа «отказ в обслуживании» и кражу конфиденциальных данных. К тому же такой подход не оставляет следов, которые можно было бы проследить до конкретного аккаунта Gmail или Google Workspace.
Под ударом различные чувствительные данные, включая токены JWT, ключи API GCP, ключи AWS, учетные данные Google OAuth, закрытые ключи и доступы к реестрам контейнеров, что может привести к внедрению вредоносного кода в образы контейнеров.
Google уже предприняла шаги по устранению недостатка, запретив привязку группы system:authenticated к роли cluster-admin в версиях GKE 1.28 и выше. Компания также рекомендует пользователям не привязывать группу system:authenticated к каким-либо ролям RBAC (role-based access control) и проверить, не связаны ли их кластеры с группой.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯11👌2
Media is too big
VIEW IN TELEGRAM
Announcing Docker Scout Software Supply Chain Solution for Open Source Projects (Анонс решения для цепочки поставок программного обеспечения Docker Scout для проектов с открытым исходным кодом)
📌 Подробнее: https://www.docker.com/blog/docker-scout-software-supply-chain-solution-for-open-source-projects/
MemOps🤨
📌 Подробнее: https://www.docker.com/blog/docker-scout-software-supply-chain-solution-for-open-source-projects/
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Контроллер чистоты Kubernetes
k8s-cleaner – идентифицирует, удаляет и обновляет устаревшие ресурсы для поддержания чистой и эффективной среды Kubernetes. Поддерживает сухой запуск и гибко настраивается.
Cпособен обработать любой тип ресурсов Kubernetes (включая ваши собственные) и отфильтровать их на основе меток и пользовательских критериев.
После того, как работа сделана, уведомляет вас, например, в Slack.
📌 Подробнее: https://github.com/gianlucam76/k8s-cleaner?tab=readme-ov-file
MemOps🤨
k8s-cleaner – идентифицирует, удаляет и обновляет устаревшие ресурсы для поддержания чистой и эффективной среды Kubernetes. Поддерживает сухой запуск и гибко настраивается.
Cпособен обработать любой тип ресурсов Kubernetes (включая ваши собственные) и отфильтровать их на основе меток и пользовательских критериев.
После того, как работа сделана, уведомляет вас, например, в Slack.
📌 Подробнее: https://github.com/gianlucam76/k8s-cleaner?tab=readme-ov-file
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤2
Захват сервера Jenkins с помощью одного символа
Jenkins исправил 9 уязвимостей в системе безопасности, включая одну критическую –
CVE-2024-23897 – уязвимость чтения произвольного файла через встроенный интерфейс командной строки. Особенностью парсера команд, использующегося в Jenkins, является замена символа "@" на содержимое файла, если путь к файлу следует за этим символом в аргументе команды. Эта функция активирована по умолчанию в версиях Jenkins 2.441 и более ранних, а также в LTS 2.426.2 и более ранних, и до недавнего времени не была отключена.
Уязвимость устранена в версиях Jenkins 2.442 и LTS 2.426.3 путём отключения функции синтаксического анализа команд. В качестве временного решения, пока исправление не будет применено, рекомендуется отключить доступ к CLI.
MemOps🤨
Jenkins исправил 9 уязвимостей в системе безопасности, включая одну критическую –
CVE-2024-23897, которая приводит к удаленному выполнению кода.CVE-2024-23897 – уязвимость чтения произвольного файла через встроенный интерфейс командной строки. Особенностью парсера команд, использующегося в Jenkins, является замена символа "@" на содержимое файла, если путь к файлу следует за этим символом в аргументе команды. Эта функция активирована по умолчанию в версиях Jenkins 2.441 и более ранних, а также в LTS 2.426.2 и более ранних, и до недавнего времени не была отключена.
Уязвимость устранена в версиях Jenkins 2.442 и LTS 2.426.3 путём отключения функции синтаксического анализа команд. В качестве временного решения, пока исправление не будет применено, рекомендуется отключить доступ к CLI.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
Alaz – это eBPF-агент Ddosify с открытым исходным кодом, который может проверять и собирать трафик службы Kubernetes (K8s) без необходимости инструментирования кода, дополнительных функций или перезапуска службы.
Alaz может создать карту служб, которая помогает идентифицировать "золотые" сигналы и проблемы:
– Высокие задержки между службами K8s
– Обнаружение кодов состояния HTTP 5xx
– Обнаружение служб простоя / зомби
– Обнаружение медленных SQL-запросов
📌 Подробнее: https://github.com/ddosify/alaz
MemOps🤨
Alaz может создать карту служб, которая помогает идентифицировать "золотые" сигналы и проблемы:
– Высокие задержки между службами K8s
– Обнаружение кодов состояния HTTP 5xx
– Обнаружение служб простоя / зомби
– Обнаружение медленных SQL-запросов
📌 Подробнее: https://github.com/ddosify/alaz
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
Helm Dashboard — GUI с открытым исходным кодом для управления выпусками Helm в Kubernetes.
Этот проект является частью концепции Komodor, направленной на то, чтобы помочь пользователям Kubernetes ориентироваться в своих кластерах и устранять неполадки. Важно отметить, что Helm Dashboard не является официальным проектом команды helm.
📌 Подробнее: https://blog.palark.com/helm-dashboard-gui-for-helm
MemOps🤨
Этот проект является частью концепции Komodor, направленной на то, чтобы помочь пользователям Kubernetes ориентироваться в своих кластерах и устранять неполадки. Важно отметить, что Helm Dashboard не является официальным проектом команды helm.
📌 Подробнее: https://blog.palark.com/helm-dashboard-gui-for-helm
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9
3 Common Mistakes with PromQL and Kubernetes Metrics
📌 Подробнее: https://home.robusta.dev/blog/3-common-mistakes-with-promql-and-kubernetes-metrics
MemOps🤨
- Mistake #1: Duplicate Series
- Problem #2: Grouping/Sum Mistakes
- Problem #3: Unexpected Cardinality
📌 Подробнее: https://home.robusta.dev/blog/3-common-mistakes-with-promql-and-kubernetes-metrics
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
DBChaos – инструмент для стресc-тестирования БД с помощью предопределенных запросов. Выявляет медленные и дорогие запросы, которые приводят к сбоям в вашей базе данных.
📌 Подробнее: https://github.com/adaptive-scale/dbchaos
MemOps🤨
📌 Подробнее: https://github.com/adaptive-scale/dbchaos
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - adaptive-scale/dbchaos: Stress-test your database with pre-defined queries
Stress-test your database with pre-defined queries - adaptive-scale/dbchaos
👍6
Please open Telegram to view this post
VIEW IN TELEGRAM
😁15👍13💯5😭1