Vulnerabilidad en Flux2 (CVE-2022-36049)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/09/2022
Última modificación:
12/09/2022
Descripción
Flux2 es una herramienta para mantener los clusters de Kubernetes sincronizados con las fuentes de configuración, y el controlador Helm de Flux es un operador de Kubernetes que permite administrar de forma declarativa los lanzamientos de gráficos de Helm. Helm-controller está estrechamente integrado con el SDK de Helm. Una vulnerabilidad encontrada en el SDK de Helm que afecta a flux2 versiones v0.0.17 hasta v0.32.0 y a helm-controller versiones v0.0.4 hasta v0.23.0, permite que determinadas entradas de datos causen un alto consumo de memoria. En algunas plataformas, esto podría causar que el controlador entre en pánico y deje de procesar las conciliaciones. En un entorno de clústeres compartidos con múltiples inquilinos, un inquilino podría crear un HelmRelease que hace que el controlador entre en pánico, denegando a todos los demás inquilinos la reconciliación de sus HelmRelease. Los parches están disponibles en flux2 versión v0.32.0 y helm-controller versión v0.23.0
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:helm:helm:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.9.4 (excluyendo) |
| cpe:2.3:a:fluxcd:flux2:*:*:*:*:*:*:*:* | 0.0.17 (incluyendo) | 0.32.0 (excluyendo) |
| cpe:2.3:a:fluxcd:helm-controller:*:*:*:*:*:*:*:* | 0.0.4 (incluyendo) | 0.23.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página