Um problema de segurança foi descoberto no kube-state-metrics 1.7.x antes do 1.7.2. Um recurso experimental foi adicionado às v1.7.0 e v1.7.1 que permitiam que as anotações fossem expostas como métricas. Por padrão, kube-state-metrics expõe apenas metadados sobre segredos. No entanto, uma combinação do comportamento padrão do kubectl e esse novo recurso pode fazer com que todo o conteúdo secreto acabe em rótulos de métricas, expondo inadvertidamente o conteúdo secreto nas métricas.
Tag: Divulgação de Informação
ASA-2019-00585 – Extensão TYPO3 Direct Mail (direct_mail): Divulgação de informação
Ausência de verificação de acesso no módulo backend da extensão permite que um usuário de backend sem acesso a tabelas configuradas (por exemplo, fe_users, tt_address) visualize e exporte dados de usuários inscritos em uma newsletter.
ASA-2019-00574 – libssh2: Out-of-bounds read ao conectar-se a um servidor SSH mal-intencionado
Existe uma vulnerabilidade de out-of-bounds read, que implica potencial negação de serviço ou divulgação remota de informações. Vulnerabilidade é acionada quando libssh2 é usado para conectar-se a um servidor SSH malicioso. O overflow ocorre quando o servidor SSH envia uma mensagem para finalizar conexão, o que significa que a vulnerabilidade pode ser acionada no início do processo de conexão, antes da conclusão da autenticação.
ASA-2019-00569 – Intel NUC: Corrupção de memória no firmware do sistema
Corrupção de memória no firmware do sistema para Intel NUC pode permitir que um usuário privilegiado realize escalação de privilégios, negação de serviço e/ou divulgação de informações por meio de acesso local.
ASA-2019-00568 – Intel NUC: Corrupção de ponteiro no firmware do sistema
Corrupção de ponteiro no firmware do sistema para Intel NUC pode permitir que um usuário privilegiado realize escalação de privilégios, negação de serviço e/ou divulgação de informações por meio de acesso local.