Tekton Pipelines git resolver API token leakage vulnerability (GHSA-2d5r-9pm-2w5c)

漏洞概述 漏洞名称: Git resolver API mode leaks system-configured API token to user-controlled serverURL 漏洞描述: Tekton Pipelines 的 git resolver 在 API 模式下，当用户省略 参数时，会将系统配置的 Git API 令牌（如 GitHub PAT、GitLab token 等）发送到用户控制的 。这允许具有创建 TaskRun 或 PipelineRun 权限的租户窃取共享的 API 令牌。 漏洞类型: 信息泄露 严重程度: 高 (7.7 / 10) 影响范围 受影响版本: 未受影响版本: 之前的版本（因为 git resolver 不存在或没有 API 模式） 影响: 系统 Git API 令牌被泄露到攻击者控制的端点，可能导致私有仓库中的源代码、密钥和 CI/CD 配置被读取。 修复方案 补丁: 当 是用户提供的且不同于系统配置的服务器 URL 时，用户必须提供自己的 参数。使用系统令牌与非系统服务器 URL 将被拒绝。 临时缓解措施: - 不要在 git resolver 的 ConfigMap 中配置系统级 API 令牌，而是要求所有用户通过 参数提供自己的令牌。 - 限制 TaskRun 创建——限制哪些用户或 ServiceAccounts 可以创建使用 git resolver 的 TaskRuns 和 PipelineRuns。 - 网络出口策略——应用 NetworkPolicy 到 命名空间以限制出站流量到已知良好的 Git 服务器。 参考链接 相关公告: GHSA-2d5r-9pm-2w5c 相关 PR: #3608 (deprecate api-token-secret-namespace) 相关 PR: #3609 (SubjectAccessReview for resolver secrets) 致谢 该漏洞由 Koda Reef (@kodareef5) 报告，并提供了详细的分析和概念验证。

目標達成すべての支援者に感謝 — 100%達成しました！

Tekton Pipelines git resolver API token leakage vulnerability (GHSA-2d5r-9pm-2w5c)

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

Tekton Pipelines git resolver API token leakage vulnerability (GHSA-2d5r-9pm-2w5c)

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！