Vulnerabilidades

En Config Manager, existe una posible inyección de comando debido a una validación de entrada incorrecta. Esto podría conducir a una escalada remota de privilegios con privilegios de ejecución del usuario necesarios. Se necesita la interacción del usuario para la explotación. ID de parche: A20220004; ID del problema: OSBNB00140929.

En Boa, existe una posible inyección de comando debido a una validación de entrada incorrecta. Esto podría conducir a una escalada remota de privilegios sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación. ID de parche: A20220026; ID del problema: OSBNB00144124.

En ccu, existe una posible escritura fuera de los límites debido a una validación de entrada incorrecta. Esto podría conducir a una escalada local de privilegios con privilegios de ejecución del sistema necesarios. La interacción del usuario no es necesaria para la explotación. ID de parche: ALPS07554646; ID del problema: ALPS07554646.

En el controlador de Wi-Fi, existe un posible comportamiento indefinido debido a un manejo incorrecto de errores. Esto podría conducir a una escalada local de privilegios con privilegios de ejecución del sistema necesarios. La interacción del usuario no es necesaria para la explotación. ID de parche: GN20220705042; ID del problema: GN20220705042.

En el controlador de Wi-Fi, existe un posible comportamiento indefinido debido a un manejo incorrecto de errores. Esto podría conducir a una escalada local de privilegios con privilegios de ejecución del sistema necesarios. La interacción del usuario no es necesaria para la explotación. ID de parche: GN20220705059; ID del problema: GN20220705059.

En el controlador de Wi-Fi, existe un posible comportamiento indefinido debido a un manejo incorrecto de errores. Esto podría conducir a una escalada local de privilegios con privilegios de ejecución del sistema necesarios. La interacción del usuario no es necesaria para la explotación. ID de parche: GN20220705066; ID del problema: GN20220705066.

Las versiones 2.5.3 y anteriores de SSZipArchive contienen una vulnerabilidad de escritura de archivos arbitraria debido a la falta de sanitización en rutas que son enlaces simbólicos. SSZipArchive sobrescribirá archivos en el sistema de archivos al abrir un ZIP malicioso que contenga un enlace simbólico como primer elemento.

En voto, existe un posible use after free debido a una condición de ejecución. Esto podría conducir a una escalada local de privilegios con privilegios de ejecución del sistema necesarios. La interacción del usuario no es necesaria para la explotación. ID de parche: ALPS07494473; ID del problema: ALPS07494473.

Spinnaker es una plataforma de entrega continua multicloud de código abierto para publicar cambios de software, y el microservicio Rosco de Spinnaker produce imágenes de máquinas. Rosco anterior a las versiones 1.29.2, 1.28.4 y 1.27.3 no enmascara las propiedades de los secretos generados a través de compilaciones de empaquetadores. Esto puede provocar la exposición de credenciales confidenciales de AWS en los archivos de registro de empaquetadores. Las versiones 1.29.2, 1.28.4 y 1.27.3 de Rosco contienen correcciones para este problema. Hay un workaround disponible. Se recomienda usar credenciales de corta duración a través de la asunción de roles y perfiles de IAM. Además, las credenciales se pueden configurar en `/home/spinnaker/.aws/credentials` y `/home/spinnaker/.aws/config` como un montaje de volumen para pods de Rosco en lugar de configurar las credenciales en las propiedades de configuración de horneado de Rosco. Por último, incluso con eso, se recomienda usar roles de IAM en lugar de credenciales de larga duración. Esto mitiga drásticamente el riesgo de exposición de credenciales. Si los usuarios han utilizado credenciales estáticas, se recomienda eliminar todos los registros de Bake para AWS, evaluar si se han introducido AWS_ACCESS_KEY, SECRET_KEY u otros datos confidenciales en los archivos de registro y los registros de trabajos de Bake. Luego, rotar estas credenciales y evaluar el posible uso indebido de esas credenciales.

En mdp, existe una posible escritura fuera de los límites debido a un manejo incorrecto de errores. Esto podría conducir a una escalada local de privilegios con permisos de ejecución de System necesarios. La interacción del usuario no es necesaria para la explotación. ID de parche: ALPS07342114; ID del problema: ALPS07342114.

En isp, existe una posible escritura fuera de los límites debido a una condición de ejecución. Esto podría conducir a una escalada local de privilegios con privilegios de ejecución del sistema necesarios. La interacción del usuario no es necesaria para la explotación. ID de parche: ALPS07494449; ID del problema: ALPS07494449.

En GPS, existe una posible escritura fuera de los límites debido a una comprobación de los límites faltantes. Esto podría conducir a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación. ID de parche: ALPS07573237; ID del problema: ALPS07573237.