Adam Korcz

Nome do software vulnerável e versões afetadas: versões do body-parser anteriores à 1.20.3 Descrição: O problema diz respeito a uma vulnerabilidade de negação de serviço quando a codificação de URL está ativada. Um agente mal-intencionado pode usar uma carga maliciosa especialmente criada para inundar o servidor com um grande número de solicitações, resultando em negação de serviço. Recomendações: Para versões anteriores à 1.20.3, atualize para a versão 1.20.3 para resolver o problema. Como solução temporária, considere desativar a codificação de URL até que um patch esteja disponível. Restrinja o acesso ao servidor para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Helm anteriores à 3.10.3 **Descrição** O Helm é uma ferramenta para gerenciar Charts, recursos pré-configurados do Kubernetes. A vulnerabilidade resulta em consumo descontrolado de recursos, levando a um ataque de negação de serviço. Entradas nas funções do pacote ` strvals ` podem causar um estouro de pilha, o que não pode ser recuperado no Go. Aplicativos que utilizam funções do pacote ` strvals ` no Helm SDK podem sofrer um ataque de negação de serviço quando o pacote entra em pânico. O pacote ` strvals ` contém um analisador que transforma strings em estruturas Go, e algumas entradas de string podem causar a criação de estruturas de dados em matriz, levando a um estouro de pilha. O Helm Client entrará em pânico com entradas em sintaxes como `--set`, `--set-string` e outras sintaxes de definição de valor que causam um estouro de pilha. **Recomendações** Para versões anteriores à 3.10.3, atualize para a versão 3.10.3 para resolver o problema. Como solução alternativa temporária, os usuários do SDK podem validar as strings fornecidas pelos usuários para garantir que elas não criem grandes matrizes que causem uso significativo de memória antes de passá-las para as funções ` strvals `.

**Nome do software vulnerável e versões afetadas** Versões do Helm anteriores à 3.10.3 **Descrição** O problema diz respeito a uma referência a um ponteiro nulo no pacote `chartutil`, que pode causar uma violação de segmentação. Esse pacote contém um analisador que carrega um arquivo de validação de esquema JSON, o qual pode ser usado pelo cliente Helm para validar valores de gráficos. Certos arquivos de esquema podem causar a criação de estruturas de dados em matriz, levando a uma violação de memória. Isso pode resultar em uma negação de serviço quando a entrada causa um pânico do qual não é possível se recuperar. O cliente Helm entrará em pânico com um arquivo de esquema que cause um pânico por violação de memória, mas, como o Helm não é um serviço de longa duração, o pânico não afetará usos futuros do cliente Helm. **Recomendações** Para versões anteriores à 3.10.3, atualize para a versão 3.10.3 para resolver o problema. Como solução alternativa temporária, os usuários do SDK podem validar os arquivos de esquema que estejam formatados corretamente antes de passá-los para as funções `chartutil`.

**Nome do software vulnerável e versões afetadas** Versões do Helm anteriores à 3.9.4 **Descrição** O problema está relacionado ao pacote strvals no Helm SDK, que contém um analisador que converte strings em estruturas Go. Algumas entradas de string podem fazer com que sejam criadas estruturas de dados do tipo array, levando a um erro de pânico por falta de memória. Aplicativos que utilizam o pacote strvals para analisar entradas fornecidas pelo usuário podem sofrer um ataque de negação de serviço quando essa entrada causa um erro de pânico irrecuperável. O Helm Client entrará em pânico com entradas para `--set`, `--set-string` e outros sinalizadores de configuração de valores que causem um erro de pânico por falta de memória. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para versões anteriores à 3.9.4, atualize para a versão 3.9.4 para resolver o problema. Como solução alternativa temporária, os usuários do SDK podem validar as strings fornecidas pelos usuários para garantir que elas não criem matrizes grandes que causem uso significativo de memória antes de passá-las para as funções strvals .

**Nome do software vulnerável e versões afetadas** Versões do Argo Events anteriores à 1.7.1 **Descrição** O Argo Events é uma estrutura de automação de fluxos de trabalho orientada a eventos para o Kubernetes. O problema decorre do uso da função obsoleta `ioutil.ReadAll()` em vários pontos de extremidade `HandleRoute`, que lê todos os dados para a memória. Isso permite que um invasor envie uma solicitação de grande porte ao servidor do Argo Events, causando sua falha e resultando em uma negação de serviço. Os endpoints afetados podem ser usados para causar uma negação de serviço. As fontes de eventos suscetíveis a esse ataque de negação de serviço por esgotamento de memória incluem AWS SNS, Bitbucket, Gitlab, Slack, Storagegrid e Webhook. **Recomendações** Para versões anteriores à 1.7.1, atualize para a versão 1.7.1 do Argo Events para resolver o problema. Como solução temporária, considere restringir o acesso aos pontos de extremidade `HandleRoute` para minimizar o risco de exploração. Evite enviar solicitações grandes para o servidor do Argo Events até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do CRI-O anteriores à 1.24.1 Versões do CRI-O anteriores à 1.23.3 Versões do CRI-O anteriores à 1.22.5 Versões do CRI-O anteriores à v1.21.8 Versões do CRI-O anteriores à v1.20.8 Versões do CRI-O anteriores à v1.19.7 **Descrição** Uma vulnerabilidade no CRI-O causa esgotamento de memória ou espaço em disco no nó para qualquer pessoa com acesso à API do Kube. A solicitação ExecSync executa comandos em um contêiner e registra a saída do comando. Essa saída é então lida pelo CRI-O após a execução do comando, e é lida de forma que todo o arquivo correspondente à saída do comando seja lido. Assim, se a saída do comando for grande, é possível esgotar a memória ou o espaço em disco do nó quando o CRI-O ler a saída do comando. A maior ameaça dessa vulnerabilidade é a disponibilidade do sistema. **Recomendações** Para versões do CRI-O anteriores à 1.24.1, atualize para a versão 1.24.1 ou posterior. Para versões do CRI-O anteriores à 1.23.3, atualize para a versão 1.23.3 ou posterior. Para versões do CRI-O anteriores à 1.22.5, atualize para a versão 1.22.5 ou posterior. Para versões do CRI-O anteriores à v1.21.8, atualize para a versão v1.21.8 ou posterior. Para versões do CRI-O anteriores à v1.20.8, atualize para a versão v1.20.8 ou posterior. Para versões do CRI-O anteriores à v1.19.7, atualize para a versão v1.19.7 ou posterior. Como solução alternativa temporária, considere restringir o acesso à API do Kube para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do kustomize-controller anteriores à 0.15.0 **Descrição** A vulnerabilidade está relacionada ao kustomize-controller, um operador do Kubernetes para a execução de pipelines de entrega contínua. Ele permite que usuários capazes de criar Segredos do Kubernetes, Contas de Serviço e objetos de personalização do Flux executem comandos dentro do contêiner do kustomize-controller ao incorporar um script de shell em um Segredo do Kubernetes. Isso pode ser usado para executar comandos `kubectl` sob a Conta de Serviço do kustomize-controller, permitindo assim que um usuário autenticado do Kubernetes obtenha privilégios de administrador do cluster. A vulnerabilidade afeta ambientes multilocatários onde usuários não administradores têm permissões para criar objetos Flux Kustomization. **Recomendações** Para resolver o problema, atualize para a versão 0.15.0 ou posterior do kustomize-controller, que não executa mais comandos de shell no sistema operacional do contêiner e tem o binário `kubectl` removido da imagem do contêiner. Como solução alternativa temporária, considere usar um webhook de validação do Kubernetes, como o Gatekeeper OPA ou o Kyverno, para impedir a criação de contas de serviço do Kubernetes com segredos em namespaces pertencentes a locatários.