For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00587
Identificador(es)
ASA-2019-00587, CVE-2019-17666
Título
Novo recurso que expõe anotações como métricas pode levar à divulgação de informações
Fabricante(s)
Cloud Native Computing Foundation
Produto(s)
Kubernetes kube-state-metrics
Versão(ões) afetada(s)
Kubernetes kube-state-metrics versões anteriores v1.7.2
Versão(ões) corrigida(s)
Kubernetes kube-state-metrics versão v1.7.2
Prova de conceito
Desconhecido
Descrição
Um problema de segurança foi descoberto no kube-state-metrics 1.7.x antes do 1.7.2. Um recurso experimental foi adicionado às v1.7.0 e v1.7.1 que permitiam que as anotações fossem expostas como métricas. Por padrão, kube-state-metrics expõe apenas metadados sobre segredos. No entanto, uma combinação do comportamento padrão do kubectl e esse novo recurso pode fazer com que todo o conteúdo secreto acabe em rótulos de métricas, expondo inadvertidamente o conteúdo secreto nas métricas.
Detalhes técnicos
Desconhecido
Créditos
Moritz S
Referência(s)
Release v1.7.2 / 2019-08-05 · kubernetes/kube-state-metrics · GitHub
https://github.com/kubernetes/kube-state-metrics/releases/tag/v1.7.2
Filter annotation “annotation_kubectl_kubernetes_io_last_applied_configuration” #854
https://github.com/kubernetes/kube-state-metrics/issues/854
Revert “add kube_*_annotations metrics for all objects” #859
https://github.com/kubernetes/kube-state-metrics/pull/859
add kube_*_annotations metrics for all objects
https://github.com/kubernetes/kube-state-metrics/commit/5ae00bb93fb6c224324d02d8b57c1fb1147948c9
https://security-tracker.debian.org/tracker/CVE-2019-17110
CVE-2019-17110
https://access.redhat.com/security/cve/CVE-2019-17110
CVE-2019-17110
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17110
CVE-2019-17110
https://nvd.nist.gov/vuln/detail/CVE-2019-17110
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 25 outubro 2019