For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00495
Identificador(es)
ASA-2019-00495, CVE-2019-10223
Título
Exibição de conteúdo secreto nas métricas
Fabricante(s)
Kubernetes Community
Produto(s)
Kubernetes kube-state-metrics
Versão(ões) afetada(s)
Kubernetes kube-state-metrics versões v1.7.0 e v1.7.1
Versão(ões) corrigida(s)
Kubernetes kube-state-metrics versão v1.7.2
Prova de conceito
Desconhecido
Descrição
Um recurso experimental foi adicionado à versão v1.7.0 que permitiu que as anotações fossem expostas como métricas. Por padrão, as métricas kube-state-metrics expõem metadados sobre segredos. No entanto, uma combinação do comportamento padrão do `kubectl` e desse novo recurso pode fazer com que todo o conteúdo do segredo acabe rotulado como métrica, expondo inadvertidamente o conteúdo dos segredos nas métricas.
Detalhes técnicos
Desconhecido
Solução Alternativa
Em caso de impossibilidade de atualização para a última versão do kube-state-metrics, é possível filtrar todas as annotation metrics passando a seguinte flag para o kube-state-metrics
:
--metric-blacklist="kube_.*_annotations"
Créditos
Moritz S.
Referência(s)
[ANNOUNCE] Security release of kube-state-metrics v1.7.2
https://www.openwall.com/lists/oss-security/2019/08/09/1
coreos / kube-state-metrics
https://quay.io/coreos/kube-state-metrics:v1.7.2
Release v1.7.2 / 2019-08-05 · kubernetes/kube-state-metrics
https://github.com/kubernetes/kube-state-metrics/releases/tag/v1.7.2
add kube_*_annotations metrics for all objects
https://github.com/kubernetes/kube-state-metrics/commit/5ae00bb93fb6c224324d02d8b57c1fb1147948c9
Revert “add kube_*_annotations metrics for all objects”
https://github.com/kubernetes/kube-state-metrics/commit/03122fe3e2df49a9a7298b8af921d3c37c430f7f
Remove kube_namespace_annotations metric
https://github.com/kubernetes/kube-state-metrics/commit/2a9ab3a9a0f1c4dbecb6a5577185b33bfac86a96
*: cut v1.7.2 release
https://github.com/kubernetes/kube-state-metrics/commit/9128aca36c9506d73f76c3e726eaac1ac5d27ef5
CVE-2019-10223
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10223
CVE-2019-10223
https://nvd.nist.gov/vuln/detail/CVE-2019-10223
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 20 agosto 2019