Vulnerabilidad en Ironic-image de OpenStack Ironic (CVE-2024-31463)

Ironic-image es una implementación de OpenStack Ironic empaquetada y configurada por Metal3. Cuando el modo de proxy inverso está habilitado mediante la variable `IRONIC_REVERSE_PROXY_SETUP` establecida en `true`, 1) las credenciales básicas HTTP se validan en el lado HTTPD en un contenedor separado, no en el servicio Ironic en sí y 2) Ironic escucha en la red host en un puerto privado 6388 en localhost de forma predeterminada. Como resultado, cuando se utiliza el modo de proxy inverso, cualquier usuario Pod o Unix local en el plano de control Node puede acceder a la API Ironic en el puerto privado sin autenticación. Un problema similar afecta a Ironic Inspector (`INSPECTOR_REVERSE_PROXY_SETUP` establecido en `true`), aunque el potencial de ataque es menor allí. Este problema afecta a los operadores que implementan ironic-image en el modo de proxy inverso, que es el modo recomendado cuando se usa TLS (también recomendado), con la variable `IRONIC_PRIVATE_PORT` desarmada o configurada en un valor numérico. En este caso, un atacante con privilegios suficientes para iniciar un pod en el plano de control con red de host puede acceder a la API Ironic y usarla para modificar la máquina básica, por ejemplo, aprovisionarla con una nueva imagen o cambiar la configuración del BIOS. Esta vulnerabilidad se soluciona en 24.1.1.