Vulnerabilidad en Helm (CVE-2022-23525)

Helm es una herramienta para gestionar gráficos, recursos de Kubernetes preconfigurados. Las versiones anteriores a la 3.10.3 están sujetas a la desreferencia de puntero NULL en el _repo_package. El _repo_package contiene un controlador que procesa el archivo de índice de un repositorio. Por ejemplo, el cliente Helm agrega referencias a repositorios de gráficos donde se administran los gráficos. El _repo_package analiza el archivo de índice del repositorio y lo carga en estructuras con las que Go puede trabajar. Algunos archivos de índice pueden provocar la creación de estructuras de datos de matriz, lo que provoca una violación de la memoria. Las aplicaciones que utilizan el _repo_package en el SDK de Helm para analizar un archivo de índice pueden sufrir una Denegación de Servicio (DoS) cuando esa entrada provoca un pánico del que no se puede recuperar. El cliente Helm entrará en pánico con un archivo de índice que provocará una violación de memoria. Helm no es un servicio de larga duración, por lo que el pánico no afectará los usos futuros del cliente Helm. Este problema se solucionó en 3.10.3. Los usuarios del SDK pueden validar los archivos de índice que estén formateados correctamente antes de pasarlos a las funciones _repo_.