Allele Security Intelligence

ASA-2019-00587 – Kubernetes kube-state-metrics: Novo recurso que expõe anotações como métricas pode levar à divulgação de informações

Publicado em 25 outubro 201925 outubro 2019 por Allele Security Intelligence em Alertas

Um problema de segurança foi descoberto no kube-state-metrics 1.7.x antes do 1.7.2. Um recurso experimental foi adicionado às v1.7.0 e v1.7.1 que permitiam que as anotações fossem expostas como métricas. Por padrão, kube-state-metrics expõe apenas metadados sobre segredos. No entanto, uma combinação do comportamento padrão do kubectl e esse novo recurso pode fazer com que todo o conteúdo secreto acabe em rótulos de métricas, expondo inadvertidamente o conteúdo secreto nas métricas.

ASA-2019-00571 – Kubernetes: Parsing da API Server JSON/YAML vulnerável a ataque de exaustão de recursos

Publicado em 21 outubro 201921 outubro 2019 por Allele Security Intelligence em Alertas

Vulnerabilidade de negação de serviço no kube-apiserver, permitindo que usuários autorizados enviando cargas YAML ou JSON mal-intencionadas façam com que o kube-apiserver consuma CPU ou memória em excesso, potencialmente travando e ficando indisponível. Antes da v1.14.0, a política RBAC padrão autorizava usuários anônimos a enviar solicitações que poderiam acionar essa vulnerabilidade.

ASA-2019-00521 – Go, Kubernetes: Vulnerabilidades de negação de serviço na implementação do HTTP/2

Publicado em 27 agosto 201927 agosto 2019 por Allele Security Intelligence em Alertas

Servidores net/http e golang.org/x/net/http2 que aceitam conexões diretas de clientes não confiáveis podem ser remotamente levados a alocar uma quantidade ilimitada de memória, até que a execução do programa seja interrompida.

ASA-2019-00495 – Kubernetes kube-state-metrics: Exibição de conteúdo secreto nas métricas

Publicado em 13 agosto 201920 agosto 2019 por Allele Security Intelligence em Alertas

Um recurso experimental foi adicionado à versão v1.7.0 que permitiu que as anotações fossem expostas como métricas. Por padrão, as métricas kube-state-metrics expõem metadados sobre segredos. No entanto, uma combinação do comportamento padrão do `kubectl` e desse novo recurso pode fazer com que todo o conteúdo do segredo acabe rotulado como métrica, expondo inadvertidamente o conteúdo dos segredos nas métricas.

ASA-2019-00494 – Kubernetes: /debug/pprof exposto na porta do healthz do kubelet

Publicado em 13 agosto 20198 dezembro 2019 por Allele Security Intelligence em Alertas

O endpoint de debug /debug/pprof é exposto pela porta não autenticada do healthz do Kubelet. O problema tem severidade média e é exposto localmente pela configuração padrão.