ASA-2019-00587 – Kubernetes kube-state-metrics: Novo recurso que expõe anotações como métricas pode levar à divulgação de informações


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00587

Identificador(es)

ASA-2019-00587, CVE-2019-17666

Título

Novo recurso que expõe anotações como métricas pode levar à divulgação de informações

Fabricante(s)

Cloud Native Computing Foundation

Produto(s)

Kubernetes kube-state-metrics

Versão(ões) afetada(s)

Kubernetes kube-state-metrics versões anteriores v1.7.2

Versão(ões) corrigida(s)

Kubernetes kube-state-metrics versão v1.7.2

Prova de conceito

Desconhecido

Descrição

Um problema de segurança foi descoberto no kube-state-metrics 1.7.x antes do 1.7.2. Um recurso experimental foi adicionado às v1.7.0 e v1.7.1 que permitiam que as anotações fossem expostas como métricas. Por padrão, kube-state-metrics expõe apenas metadados sobre segredos. No entanto, uma combinação do comportamento padrão do kubectl e esse novo recurso pode fazer com que todo o conteúdo secreto acabe em rótulos de métricas, expondo inadvertidamente o conteúdo secreto nas métricas.

Detalhes técnicos

Desconhecido

Créditos

Moritz S

Referência(s)

Release v1.7.2 / 2019-08-05 · kubernetes/kube-state-metrics · GitHub
https://github.com/kubernetes/kube-state-metrics/releases/tag/v1.7.2

Filter annotation “annotation_kubectl_kubernetes_io_last_applied_configuration” #854
https://github.com/kubernetes/kube-state-metrics/issues/854

Revert “add kube_*_annotations metrics for all objects” #859
https://github.com/kubernetes/kube-state-metrics/pull/859

add kube_*_annotations metrics for all objects
https://github.com/kubernetes/kube-state-metrics/commit/5ae00bb93fb6c224324d02d8b57c1fb1147948c9

CVE-2019-17110
https://security-tracker.debian.org/tracker/CVE-2019-17110

CVE-2019-17110
https://access.redhat.com/security/cve/CVE-2019-17110

CVE-2019-17110
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17110

CVE-2019-17110
https://nvd.nist.gov/vuln/detail/CVE-2019-17110

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 25 outubro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.