CVE-2020-11013

Versões do Helm 3.0.0 a 3.1.2

Existe uma falha de divulgação de informações no Helm. A função de modelo lookup, introduzida no Helm v3, permite pesquisar recursos no cluster para verificar a existência de recursos específicos e obter detalhes sobre eles. Essa função contorna o comportamento documentado do helm template, que afirma que ele não se conecta a um cluster remoto. Um autor mal-intencionado de um chart poderia injetar um lookup em um chart que, quando renderizado pelo helm template, realiza pesquisas não anunciadas no cluster para o qual o arquivo KUBECONFIG do usuário aponta. Essas informações podem então ser divulgadas por meio da saída do helm template.

Para as versões 3.0.0 a 3.1.2 do Helm, atualize para o Helm 3.2.0 para corrigir o problema.

Como solução alternativa temporária, considere executar helm lint em um gráfico não confiável antes de executar helm template, pois ele falhará com um erro se a função lookup for usada.

Como alternativa, defina a variável de ambiente KUBECONFIG para apontar para um arquivo de configuração do Kubernetes vazio, a fim de evitar conexões de rede indesejadas.

Analise manualmente um gráfico para verificar a presença de uma função lookup em qualquer arquivo no diretório templates/ para identificar riscos potenciais.