-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheid verholpen in Microsoft Azure Active Directory Pod Identity Advisory ID : NCSC-2021-0024 Versie : 1.00 Kans : medium CVE ID : CVE-2021-1677 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: http://cve.mitre.org/cve/) Schade : low Spoofing Uitgiftedatum : 20210112 Toepassing : Microsoft Azure Microsoft Azure AD Connect Versie(s) : Platform(s) : Beschrijving Er bevindt zich een kwetsbaarheid in Azure Active Directory (AAD) Pod Identity. De kwetsbaarheid stelt een kwaadwillende in staat om zich voor te doen als een andere gebruiker. De AAD pod identiteit stelt gebruikers in staat om identiteiten toe te kennen aan pods in Kubernetes-clusters door deze op te vragen met reguliere Azure Instance Metadata Services) IMDS verzoeken. Door een onjuiste afhandeling in de toekenning van deze identiteiten, kan een kwaadwillende de identiteit van andere pods overnemen en zich voordoen als een andere gebruiker. Mogelijke oplossingen Microsoft heeft updates beschikbaar gesteld waarmee de beschreven kwetsbaarheden worden verholpen. We raden u aan om deze updates te installeren. Meer informatie over de kwetsbaarheden, de installatie van de updates en eventuele work-arounds vindt u op: https://portal.msrc.microsoft.com/en-us/security-guidance Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBX/30jOEs56R4sCd0AQq2NQv/RTDvx0aLpGcDKjaGA5JDz8wfPOSRr9Bl 9/SHBMXNae/JS5QVPNBFb7ia79qjrKXJpSp3IN8RIHz7TIuHGmFZK6U3/hqHuJ8H XV5GZrme1+lIaNDQNUZ1acj//oZx07M3Y6NIxfWMnoe8bkAmMGWarRCW64uT1znu U3WXIROMvJvR+XwtARS8PtnxjSyvuRnzdpvQOgBP8s+i27xNyzzUHzMs17jBoJ84 K0ScCvyJj7o82kPx7GCDXsApj2+R0eLNRKuHqx8iXmvShXHnP7Dci3CBIUghiT5Q r+nf3pRpD91x6jKam2XcCx21bHNkMSe4oAXukWVzKxmlajjaLVI4q3hb4QQnIZ2A 9MfNBenSiNz4Hm7OAr4FxKA0KN8dG1yUWEjg2ilyS7EBYaSb8I2De2kJGBuYOJd7 emBayktPOwOkD+EKshOxu7F7l/vENFMKm/nuapRJ+Gca1JIrvIqXA2xw8Z1AXaXz 4juqFYQrz5z8EU1kJRA2SZAzuk6USXeE =iZHH -----END PGP SIGNATURE-----