Vulnerabilidad en FlyteAdmin (CVE-2022-39273)

FlyteAdmin es el plano de control de la plataforma de procesamiento de datos Flyte. Los usuarios que habiliten el servidor de autorización de Flyte por defecto sin cambiar los hashes clientid por defecto estarán expuestos a la Internet pública. En un esfuerzo por hacer más fácil la habilitación de la autenticación para los administradores de Flyte, la configuración por defecto para Flyte Admin permite el acceso para Flyte Propeller incluso después de activar la autenticación por medio de una contraseña hash embebida. Esta contraseña también es establecido en el mapa de configuración por defecto de Flyte Propeller en los distintos cuadros de Flyte Helm. Los usuarios que habilitan la autenticación pero no anulan este ajuste en la configuración de Flyte Admin pueden, sin saberlo, estar permitiendo la entrada de tráfico público mediante esta contraseña por defecto con atacantes suplantando efectivamente a Propeller. Esto sólo es aplicado a usuarios que no han especificado la configuración de ExternalAuthorizationServer. El uso de un servidor de autenticación externo desactiva automáticamente esta configuración por defecto y no son susceptibles de esta vulnerabilidad. Este problema ha sido abordado en versión 1.1.44. Los usuarios deben establecer manualmente los staticClients en la sección selfAuthServer de su configuración si pretenden confiar en el servidor de autenticación interno de Admin. De nuevo, los usuarios que usan un servidor de autenticación externo están automáticamente protegidos de esta vulnerabilidad