Allele Security Intelligence - kube-state-metrics

ASA-2019-00587 – Kubernetes kube-state-metrics: Novo recurso que expõe anotações como métricas pode levar à divulgação de informações

Publicado em 25 outubro 201925 outubro 2019 por Allele Security Intelligence em Alertas

Um problema de segurança foi descoberto no kube-state-metrics 1.7.x antes do 1.7.2. Um recurso experimental foi adicionado às v1.7.0 e v1.7.1 que permitiam que as anotações fossem expostas como métricas. Por padrão, kube-state-metrics expõe apenas metadados sobre segredos. No entanto, uma combinação do comportamento padrão do kubectl e esse novo recurso pode fazer com que todo o conteúdo secreto acabe em rótulos de métricas, expondo inadvertidamente o conteúdo secreto nas métricas.

ASA-2019-00495 – Kubernetes kube-state-metrics: Exibição de conteúdo secreto nas métricas

Publicado em 13 agosto 201920 agosto 2019 por Allele Security Intelligence em Alertas

Um recurso experimental foi adicionado à versão v1.7.0 que permitiu que as anotações fossem expostas como métricas. Por padrão, as métricas kube-state-metrics expõem metadados sobre segredos. No entanto, uma combinação do comportamento padrão do `kubectl` e desse novo recurso pode fazer com que todo o conteúdo do segredo acabe rotulado como métrica, expondo inadvertidamente o conteúdo dos segredos nas métricas.