Technosophos

**Nome do software vulnerável e versões afetadas: Versões do Helm 3.0 a 3.5.2 Descrição: O Helm, uma ferramenta para gerenciar Charts no Kubernetes, apresenta casos em que dados carregados de fontes potencialmente não confiáveis não foram devidamente sanitizados. Isso inclui SemVer inválido no campo `version` de um chart, campos não sanitizados nos arquivos `index.yaml` do repositório Helm, nos arquivos `plugin.yaml` para plugins e nos arquivos `Chart.yaml`. Ao explorar essas vulnerabilidades, invasores poderiam enviar informações enganosas para uma tela de terminal executando o comando `helm`, ocultar ou alterar informações na tela ou executar lógica de ordem superior, como limpar a tela do terminal. O problema afeta o Helm 3 e foi resolvido com a aplicação de políticas SemVer2 nos campos de versão. Recomendações: Para as versões 3.0 a 3.5.2 do Helm, atualize para a versão 3.5.2 ou posterior para resolver o problema. Aqueles que usam o Helm como biblioteca devem verificar se estão sanitando esses dados por conta própria ou se estão usando as chamadas de API do Helm adequadas para sanitá-los.

**Nome do software vulnerável e versões afetadas** Versões do Helm 3.0.0 a 3.1.2 **Descrição** Existe uma falha de divulgação de informações no Helm. A função de modelo `lookup`, introduzida no Helm v3, permite pesquisar recursos no cluster para verificar a existência de recursos específicos e obter detalhes sobre eles. Essa função contorna o comportamento documentado do `helm template`, que afirma que ele não se conecta a um cluster remoto. Um autor mal-intencionado de um chart poderia injetar um `lookup` em um chart que, quando renderizado pelo `helm template`, realiza pesquisas não anunciadas no cluster para o qual o arquivo `KUBECONFIG` do usuário aponta. Essas informações podem então ser divulgadas por meio da saída do `helm template`. **Recomendações** Para as versões 3.0.0 a 3.1.2 do Helm, atualize para o Helm 3.2.0 para corrigir o problema. Como solução alternativa temporária, considere executar `helm lint` em um gráfico não confiável antes de executar `helm template`, pois ele falhará com um erro se a função `lookup` for usada. Como alternativa, defina a variável de ambiente `KUBECONFIG` para apontar para um arquivo de configuração do Kubernetes vazio, a fim de evitar conexões de rede indesejadas. Analise manualmente um gráfico para verificar a presença de uma função `lookup` em qualquer arquivo no diretório `templates/` para identificar riscos potenciais.

Name of the Vulnerable Software and Affected Versions: helm versions prior to 2.7.2 Description: The issue concerns improper certificate validation, allowing unauthorized clients to connect to the server because self-signed client certificates were allowed. A malicious client could exploit this by connecting to the server over the network. Recommendations: For versions prior to 2.7.2, update to version 2.7.2 to resolve the issue. As a temporary workaround, consider restricting access to the server to minimize the risk of exploitation by unauthorized clients.