Tuminoid

**Nome do software vulnerável e versões afetadas** Versões do baremetal-operator anteriores à 0.8.0 Versões do baremetal-operator anteriores à 0.6.2 Versões do baremetal-operator anteriores à 0.5.2 **Descrição** O Bare Metal Operator (BMO) implementa uma API do Kubernetes para gerenciar hosts bare metal no Metal3. O CRD `BareMetalHost` (BMH) permite que os campos `userData`, `metaData` e `networkData` do host provisionado sejam especificados como links para Segredos do Kubernetes. Um usuário com permissão para criar ou editar um `BareMetalHost` pode extrair um `Segredo` de outro namespace, utilizando-o, por exemplo, como `userData` para provisionar algum host. O BMO lerá apenas uma chave com o nome `value` (ou `userData`, `metaData` ou `networkData`), o que limita um pouco a exposição. Segredos usados por outros `BareMetalHost`s em diferentes namespaces estão sempre vulneráveis. Essa vulnerabilidade só é significativa se o cluster tiver usuários além dos administradores e os privilégios dos usuários estiverem limitados aos seus respectivos namespaces. **Recomendações** Para versões anteriores à 0.8.0, atualize para a versão 0.8.0 ou posterior. Para versões anteriores à 0.6.2, atualize para a versão 0.6.2 ou posterior. Para versões anteriores à 0.5.2, atualize para a versão 0.5.2 ou posterior. Antes da atualização, duplique os segredos do BMC para o namespace onde o BMH correspondente está localizado. Após a atualização, remova os segredos antigos. Como solução alternativa temporária, configure o RBAC do BMO para ter escopo de namespace para segredos, em vez de escopo de cluster, para impedir que o BMO acesse segredos de

**Nome do software vulnerável e versões afetadas** Dex versão 2.37.0 **Descrição** O Dex é um serviço de identidade que utiliza o OpenID Connect para realizar a autenticação em outros aplicativos. O problema decorre do fato de o Dex servir HTTPS com TLS 1.0 e TLS 1.1, que não são seguros. O `tlsConfig` é ignorado após a introdução do “recarregador de certificados TLS” na versão 2.37.0, fazendo com que os conjuntos de criptografia configurados não sejam respeitados. Isso permite que conexões TLS 1.0 e TLS 1.1 sejam descriptografadas por um invasor, expondo potencialmente o tráfego para o Dex. O problema foi corrigido na versão 2.38.0 do Dex. **Recomendações** Para a versão 2.37.0 do Dex, atualize para a versão 2.38.0 para resolver o problema. Como solução temporária, considere desativar o uso de TLS 1.0 e TLS 1.1 até que um patch esteja disponível. Restrinja o acesso ao módulo vulnerável `cmd/dex/serve.go` para minimizar o risco de exploração. Evite usar conjuntos de criptografia inseguros nos pontos de extremidade da API afetados até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** Baremetal Operator versions prior to 0.3.0 **Description** The issue arises from the storage of `.htpasswd` files as ConfigMaps instead of Secrets by ironic and ironic-inspector deployed within Baremetal Operator using the included `deploy.sh`. This causes the plain-text username and hashed password to be readable by anyone having a cluster-wide read-access to the management cluster, or access to the management cluster's Etcd storage. **Recommendations** For versions prior to 0.3.0, update to version 0.3.0 or later to resolve the issue. As a temporary workaround, users may modify the kustomizations and redeploy the BMO, or recreate the required ConfigMaps as Secrets per instructions in baremetal-operator PR#1241.