Vulnerabilidad en ironic-image (CVE-2023-40585)

ironic-image es una imagen de contenedor para ejecutar OpenStack Ironic como parte de Metal³. Antes de la versión capm3-v1.4.3, si Ironic no se despliega con TLS y no tiene API y Conductor divididos en servicios separados, el acceso a la API no está protegido por ninguna autenticación. Ironic API también está a la escucha en la red del host. En caso de que el nodo no esté detrás de un cortafuegos, cualquiera podría acceder a la API a través de la red sin autenticación. Por defecto, la API Ironic en Metal3 está protegida por TLS y autenticación básica, por lo que esta vulnerabilidad requiere que el operador configure la API sin TLS para que sea vulnerable. Sin embargo, TLS y autenticación no deberían estar acoplados tal y como están en versiones anteriores a capm3-v1.4.3. Existe un parche en las versiones capm3-v1.4.3 y posteriores. Algunas soluciones están disponibles. Configure TLS para Ironic API (`deploy.sh -t ...`, `IRONIC_TLS_SETUP=true`) o divida Ironic API y Conductor mediante un cambio en la configuración (implementación antigua, no recomendada). Con ambas soluciones, los servicios se configuran con httpd front-end, que tiene la configuración de autenticación adecuada.<br />