Vulnerabilidad en Helm (CVE-2022-36055)

Helm es una herramienta para administrar Charts. Los Charts son paquetes de recursos Kubernetes preconfigurados. Las pruebas Fuzz, proporcionadas por el CNCF, identificaron la entrada de funciones en el paquete _strvals_ que pueden causar un pánico de memoria. El paquete _strvals_ contiene un analizador que convierte las cadenas en estructuras Go. El paquete _strvals_ convierte estas cadenas en estructuras con las que Go puede trabajar. Algunas entradas de cadenas pueden causar la creación de estructuras de datos de array causando un pánico de memoria. Las aplicaciones que usan el paquete _strvals_ en el SDK de Helm para analizar la entrada suministrada por el usuario pueden sufrir una Denegación de Servicio cuando esa entrada causa un pánico del que no puede recuperarse. El cliente de Helm entrará en pánico con la entrada de "--set", "--set-string", y otros flags de configuración de valores que causan un pánico de memoria. Helm no es un servicio de larga duración, por lo que el pánico no afectará a futuros usos del cliente Helm. Este problema ha sido resuelto en versión 3.9.4. Los usuarios del SDK pueden comprender que las cadenas suministradas por los usuarios no crearán matrices grandes que causen un uso significativo de la memoria antes de pasarlas a las funciones _strvals_