ASA-2019-00495 – Kubernetes kube-state-metrics: Exibição de conteúdo secreto nas métricas


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00495

Identificador(es)

ASA-2019-00495, CVE-2019-10223

Título

Exibição de conteúdo secreto nas métricas

Fabricante(s)

Kubernetes Community

Produto(s)

Kubernetes kube-state-metrics

Versão(ões) afetada(s)

Kubernetes kube-state-metrics versões v1.7.0 e v1.7.1

Versão(ões) corrigida(s)

Kubernetes kube-state-metrics versão v1.7.2

Prova de conceito

Desconhecido

Descrição

Um recurso experimental foi adicionado à versão v1.7.0 que permitiu que as anotações fossem expostas como métricas. Por padrão, as métricas kube-state-metrics expõem metadados sobre segredos. No entanto, uma combinação do comportamento padrão do `kubectl` e desse novo recurso pode fazer com que todo o conteúdo do segredo acabe rotulado como métrica, expondo inadvertidamente o conteúdo dos segredos nas métricas.

Detalhes técnicos

Desconhecido

Solução Alternativa

Em caso de impossibilidade de atualização para a última versão do kube-state-metrics, é possível filtrar todas as annotation metrics passando a seguinte flag para o kube-state-metrics:

--metric-blacklist="kube_.*_annotations"

Créditos

Moritz S.

Referência(s)

[ANNOUNCE] Security release of kube-state-metrics v1.7.2
https://www.openwall.com/lists/oss-security/2019/08/09/1

coreos / kube-state-metrics
https://quay.io/coreos/kube-state-metrics:v1.7.2

Release v1.7.2 / 2019-08-05 · kubernetes/kube-state-metrics
https://github.com/kubernetes/kube-state-metrics/releases/tag/v1.7.2

add kube_*_annotations metrics for all objects
https://github.com/kubernetes/kube-state-metrics/commit/5ae00bb93fb6c224324d02d8b57c1fb1147948c9

Revert “add kube_*_annotations metrics for all objects”
https://github.com/kubernetes/kube-state-metrics/commit/03122fe3e2df49a9a7298b8af921d3c37c430f7f

Remove kube_namespace_annotations metric
https://github.com/kubernetes/kube-state-metrics/commit/2a9ab3a9a0f1c4dbecb6a5577185b33bfac86a96

*: cut v1.7.2 release
https://github.com/kubernetes/kube-state-metrics/commit/9128aca36c9506d73f76c3e726eaac1ac5d27ef5

CVE-2019-10223
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10223

CVE-2019-10223
https://nvd.nist.gov/vuln/detail/CVE-2019-10223

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 20 agosto 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.