Vulnerabilidad en Bare Metal Operator (CVE-2024-43803)

Bare Metal Operator (BMO) implementa una API de Kubernetes para administrar hosts de bare metal en Metal3. El CRD `BareMetalHost` (BMH) permite que `userData`, `metaData` y `networkData` para el host aprovisionado se especifiquen como enlaces a secretos de Kubernetes. Hay campos tanto para el `Name` como para el `Namespace` del secreto, lo que significa que las versiones del baremetal-operator anteriores a 0.8.0, 0.6.2 y 0.5.2 leerán un `Secret` de cualquier espacio de nombres. Un usuario con acceso para crear o editar un `BareMetalHost` puede, por lo tanto, exfiltrar un `Secret` de otro espacio de nombres al usarlo, por ejemplo, como `userData` para aprovisionar algún host (tenga en cuenta que no es necesario que sea un host real, podría ser una máquina virtual en algún lugar). BMO solo leerá una clave con el nombre `value` (o `userData`, `metaData` o `networkData`), por lo que limita un poco la exposición. `value` es probablemente una clave bastante común. Los secretos utilizados por _otros_ `BareMetalHost` en diferentes espacios de nombres siempre son vulnerables. Es probablemente relativamente inusual que alguien que no sea un administrador del clúster tenga acceso RBAC para crear o editar un `BareMetalHost`. Esta vulnerabilidad solo es significativa si el clúster tiene usuarios que no sean administradores y los privilegios de los usuarios están limitados a sus respectivos espacios de nombres. El parche evita que BMO acepte enlaces a secretos de otros espacios de nombres como entrada BMH. Cualquier configuración de BMH solo se lee desde el mismo espacio de nombres. El problema está parcheado en las versiones v0.7.0, v0.6.2 y v0.5.2 de BMO y los usuarios deben actualizar a esas versiones. Antes de actualizar, duplique los secretos de BMC en el espacio de nombres donde se encuentra el BMH correspondiente. Después de la actualización, elimine los secretos antiguos. Como solución alternativa, un operador puede configurar BMO RBAC para que tenga alcance de espacio de nombres para secretos, en lugar de alcance de clúster, para evitar que BMO acceda a secretos desde otros espacios de nombres.