Przemyslaw Roguski

**Nome do software vulnerável e versões afetadas** origin-aggregated-logging versões 3.11 **Descrição** Foi encontrada uma falha na correção original para o problema do netty-codec-http, em que o contêiner OpenShift Logging openshift-logging/elasticsearch6-rhel8 estava incompleto e o pacote Maven vulnerável netty-codec-http não foi removido do conteúdo da imagem. **Recomendações** Para a versão 3.11 do origin-aggregated-logging, certifique-se de que o pacote Maven netty-codec-http vulnerável seja removido do conteúdo da imagem para resolver o problema.

**Nome do software vulnerável e versões afetadas** mig-controller (versões afetadas não especificadas) **Descrição** Foi detectada uma falha relacionada a permissões padrão incorretas no mig-controller, associada ao tratamento inadequado dos namespaces do cluster. Isso poderia permitir que um invasor migrasse uma carga de trabalho maliciosa para o cluster de destino, afetando a confidencialidade, a integridade e a disponibilidade dos serviços nesse cluster. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do OpenShift anteriores à 4.8 **Descrição** O problema está relacionado ao certificado gerado para a CA de serviço (Service CA) dentro do cluster no OpenShift, que inclui incorretamente certificados adicionais. Isso permite que um invasor que comprometa qualquer uma dessas CAs adicionais se faça passar por um serviço confiável dentro do cluster. A CA de serviço é montada automaticamente em todos os pods, permitindo que eles se conectem a serviços confiáveis no cluster que apresentam certificados assinados pela CA de serviço confiável. **Recomendações** Para versões anteriores à 4.8, atualize para a versão 4.8 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à CA de serviço para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do OVN Kubernetes até a 0.3.0, inclusive Descrição: Foi identificada uma vulnerabilidade no OVN Kubernetes em que o Egress Firewall não aplica as regras de firewall de maneira confiável quando há várias regras de DNS. Isso pode levar a uma possível perda de confidencialidade, integridade ou disponibilidade de um serviço. Recomendações: Para versões do OVN Kubernetes até a 0.3.0, inclusive, considere restringir o uso de múltiplas regras de DNS no Egress Firewall até que um patch esteja disponível. Como solução temporária, revise e aplique manualmente as regras de firewall para garantir a confidencialidade, integridade e disponibilidade do serviço. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** CRI-O versões 1.18 e anteriores **Descrição** Foi detectada uma falha na validação de sysctls, permitindo que um invasor aplique sysctls da lista de sysctls “seguros” especificada para o cluster ao host, caso consiga criar um pod com os namespaces do kernel hostIPC e hostNetwork. **Recomendações** Para as versões 1.18 e anteriores do CRI-O, como solução temporária, considere restringir a criação de pods com os namespaces do kernel hostIPC e hostNetwork para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.