Vulnerabilidad en Talos Linux (CVE-2022-36103)

Talos Linux es una distribución de Linux construida para los despliegues de Kubernetes. Los nodos trabajadores de Talos usan un token de unión para ser aceptados en el clúster de Talos. Debido a una comprobación inapropiada de la petición mientras es firmado un CSR (solicitud de firma de certificado) de un nodo del plano de control de Talos, éste podría emitir un certificado de la API de Talos que permita el acceso completo a la API de Talos en un nodo del plano de control. El acceso a la API de Talos con acceso de nivel completo en un nodo del plano de control podría revelar información confidencial que permite el acceso de nivel completo al clúster (Kubernetes y Talos PKI, etc.). El join token de la API Talos es almacenado en la configuración de la máquina en el nodo trabajador. Cuando es configurado correctamente, las cargas de trabajo de Kubernetes no presentan acceso a la configuración de la máquina, pero debido a una mala configuración la carga de trabajo podría acceder a la configuración de la máquina y revelar el token de unión. Este problema ha sido corregido en Talos versión 1.2.2. La habilitación de las normas de seguridad de los pods mitiga la vulnerabilidad al denegar por defecto los montajes hostPath y las redes de host en la política de línea de base. Los clusters que no ejecutan cargas de trabajo no confiables no están afectados. Los clusters con configuraciones correctas de Pod Security que no permiten montajes hostPath, y acceso seguro al servidor de metadatos de la nube (o la configuración de la máquina no es suministrada por medio del servidor de metadatos de la nube) no están afectados