Vulnerabilidades

Se ha detectado un problema de seguridad en ingress-nginx en el que un usuario que puede crear o actualizar objetos ingress puede usar el campo spec.rules[].http.paths[].path de un objeto Ingress (en el grupo networking.k8s.io o extensions API) para obtener las credenciales del controlador ingress-nginx. En la configuración por defecto, esa credencial presenta acceso a todos los secretos del clúster

Se ha detectado un problema de seguridad en ingress-nginx en el que un usuario que puede crear o actualizar objetos ingress puede usar .metadata.annotations en un objeto Ingress (en el grupo networking.k8s.io o extensions API) para obtener las credenciales del controlador ingress-nginx. En la configuración por defecto, esa credencial presenta acceso a todos los secretos del clúster

Flux es una solución de entrega continua abierta y extensible para Kubernetes. Un Salto de Ruta en el controlador kustomize por medio de un "kustomization.yaml" malicioso permite a un atacante exponer datos confidenciales del sistema de archivos del pod del controlador y posiblemente escalar privilegios en despliegues multi-tenancy. Las mitigaciones incluyen herramientas automatizadas en la cadena de trabajo CI/CD del usuario para comprobar que los archivos "kustomization.yaml" sean ajustados a políticas específicas. Esta vulnerabilidad ha sido corregida en kustomize-controller versiones v0.24.0 y ha sido incluida en flux2 versión v0.29.0

Sourcegraph es un motor de búsqueda y navegación de código rápido y con muchas funciones. Las versiones anteriores a la 3.38.0 son vulnerables a una ejecución de código remota en el servicio gitserver. La integración del host de código Gitolite con Phabricator permite a administradores del sitio Sourcegraph especificar un "callsignCommand", que es usado para obtener los metadatos de Phabricator para un repositorio Gitolite. Un administrador que es capaz de editar o añadir un host de código Gitolite y presenta acceso administrativo a la instancia de Grafana de Sourcegraph puede cambiar este comando arbitrariamente y ejecutarlo remotamente. Esto garantiza el acceso directo a la infraestructura subyacente a la instalación de Sourcegraph. El ataque requiere: privilegios de site-admin en la instancia de Sourcegraph, privilegios administrativos en la instancia de monitorización de Grafana, conocimiento de la dirección IP del gitserver o del nombre DNS (si es ejecutada en Kubernetes). Esto puede encontrarse mediante Grafana. El problema está parcheado en la versión 3.38.0. Puede deshabilitar los hosts de código de Gitolite. Seguimos recomendando una actualización independientemente de las mitigaciones

TkVideoplayer es una sencilla biblioteca para reproducir archivos de vídeo en tkinter. El consumo no controlado de memoria en las versiones de TKVideoplayer anteriores a 2.0.0, puede teóricamente conllevar a una degradación del rendimiento. No se presentan medidas de mitigación conocidas. Este problema ha sido parcheado y es recomendado a usuarios actualizar a versión 2.0.0 o posterior

ecdsautils es una pequeña colección de programas usados para ECDSA (keygen, sign, verify). "ecdsa_verify_[prepare_]legacy()" no comprueba si los valores de la firma "r" y "s" son distintos de cero. Una firma formada sólo por ceros se considera siempre válida, lo que hace trivial la falsificación de firmas. Requerir múltiples firmas de diferentes claves públicas no mitiga el problema: "ecdsa_verify_list_legacy()" aceptará un número arbitrario de tales firmas falsificadas. Tanto el comando CLI "ecdsautil verify" como la biblioteca libecdsautil están afectados. El problema ha sido corregido en ecdsautils versión 0.4.1. Todas las versiones anteriores de ecdsautils (incluidas las versiones anteriores a la división en una biblioteca y una utilidad CLI) son vulnerables

Flux2 es una solución de entrega continua abierta y extensible para Kubernetes. Las versiones de Flux2 entre 0.1.0 y 0.29.0, helm-controller versiones 0.1.0 a v0.19.0, y kustomize-controller versiones 0.1.0 a v0.23.0 son vulnerables a la inyección de código por medio de un Kubeconfig malicioso. En los despliegues multi-tenancy esto también puede conllevar una escalada de privilegios si la cuenta de servicio del controlador presenta permisos elevados. Las mitigaciones incluyen deshabilitar la funcionalidad por medio de los webhooks de Comprobación de Admisión restringiendo a los usuarios la configuración del campo "spec.kubeConfig" en los objetos Flux "Kustomization" y "HelmRelease". Las mitigaciones adicionales incluyen la aplicación de perfiles restrictivos de AppArmor y SELinux en el pod del controlador para limitar los binarios que pueden ejecutarse. Esta vulnerabilidad está corregida en kustomize-controller versión v0.23.0 y helm-controller versión v0.19.0, ambos incluidos en flux2 versión v0.29.0

Argo Workflows es un motor de flujo de trabajo nativo de contenedores de código abierto para orquestar trabajos paralelos en Kubernetes. En las versiones afectadas, un atacante puede crear un flujo de trabajo que produzca un artefacto HTML que contenga un archivo HTML con un script que use llamadas XHR para interactuar con la API del servidor Argo. El atacante envía por correo electrónico el enlace profundo al artefacto a su víctima. La víctima abre el enlace y el script comienza a ejecutarse. Como el script presenta acceso a la API del Servidor Argo (como la víctima), puede leer información sobre los flujos de trabajo de la víctima, o crear y eliminar flujos de trabajo. Tenga en cuenta que el atacante debe ser un insider: debe tener acceso al mismo cluster que la víctima y debe ser capaz de ejecutar sus propios flujos de trabajo. El atacante debe conocer el sistema de la víctima. No hemos visto ninguna evidencia de esto en la naturaleza. Instamos a todos los usuarios a actualizar a las versiones corregidas

Contao es un potente CMS de código abierto que permite crear sitios web profesionales y aplicaciones web escalables. En las versiones de Contao anteriores a 4.13.3 es posible inyectar código en la etiqueta canónica. Como medida de mitigación, los usuarios pueden deshabilitar las etiquetas canónicas en la configuración de la página root

Rsyslog es un sistema muy rápido para el procesamiento de registros. Los módulos para la recepción de syslogs por TCP presentan un potencial desbordamiento del buffer de pila cuando es usado el framing de conteo de octetos. Esto puede resultar en un segfault o algún otro mal funcionamiento. A nuestro entender, esta vulnerabilidad no puede ser usada para una ejecución de código remota. Pero todavía puede haber una pequeña posibilidad de que los expertos lo hagan. El fallo es producido cuando es leído el recuento de octetos. Mientras se presenta una comprobación del número máximo de octetos, los dígitos son escritos en un búfer de montón incluso cuando el recuento de octetos supera el máximo, lo que puede usarse para sobrepasar el búfer de memoria. Sin embargo, una vez que la secuencia de dígitos es detenida, no pueden añadirse más caracteres al búfer. En nuestra opinión, esto hace que las explotaciones remotas sean imposibles o, al menos, muy complejos. El encuadre de octetos es uno de los dos modos de encuadre posibles. Es relativamente infrecuente, pero está habilitado por defecto en los receptores. Los módulos "imtcp", "imptcp", "imgssapi" y "imhttp" son usados para la recepción regular de mensajes syslog. Es una buena práctica no exponerlos directamente al público. Cuando es seguida esta práctica, el riesgo es considerablemente menor. El módulo "imdiag" es un módulo de diagnóstico destinado principalmente a las ejecuciones de los bancos de pruebas. No esperamos que esté presente en ninguna instalación de producción. El framing de octetos no es muy común. Normalmente, es necesario habilitarlo específicamente en los remitentes. Si los usuarios no lo necesitan, pueden deshabilitarlo para los módulos más importantes. Esto mitigará la vulnerabilidad

La plataforma XWiki es una plataforma wiki genérica que ofrece servicios de ejecución para las aplicaciones construidas sobre ella. La API Crypto de XWiki generará certificados X509 firmados por defecto usando SHA1 con RSA, que ya no es considerada segura para su uso en firmas de certificados, debido al riesgo de colisiones con SHA1. El problema ha sido parcheado en versiones 13.10.6, 14.3.1 y 14.4-rc-1 de XWiki. Desde entonces, la Crypto API generará certificados X509 firmados por defecto usando SHA256 con RSA. Es recomendado a administradores que actualicen su instalación de XWiki a una de las versiones parcheadas. Si la actualización no es posible, es posible parchear el módulo xwiki-platform-crypto en una instalación local al aplicar el cambio expuesto en 26728f3 y volviendo a compilar el módulo

matrix-appservice-irc es un puente IRC de Node.js para Matrix. La vulnerabilidad en node-irc permite a un atacante manipular a un usuario de Matrix para que ejecute comandos de IRC haciendo que responda a un mensaje maliciosamente diseñado. La vulnerabilidad ha sido parcheada en matrix-appservice-irc versión 0.33.2. Absténgase de responder a mensajes de participantes que no sean confiables en las salas de Matrix con puente de IRC. No se presentan medidas de mitigación conocidas para este problema