CVE-2021-27098

**Nome do software vulnerável e versões afetadas:

Versões do SPIRE de 0.8.1 a 0.8.4

Versões do SPIRE anteriores à 0.9.4

Versões do SPIRE anteriores à 0.10.2

Versões do SPIRE anteriores à 0.11.3

Versões do SPIRE anteriores à 0.12.1

Descrição:

Solicitações especialmente criadas para o “FetchX509SVID RPC” da API do Nodo Legado do Servidor SPIRE podem resultar na possível emissão de um certificado X.509 com um URI SAN para um SPIFFE ID que o agente não está autorizado a distribuir. Existem controles adequados para exigir que o solicitante apresente um certificado de agente válido que já esteja autorizado a emitir pelo menos um SPIFFE ID, e que o SPIFFE ID solicitado pertença ao mesmo domínio de confiança, antes que essa vulnerabilidade possa ser explorada.

Recomendações:

Para as versões do SPIRE 0.8.1 a 0.8.4, atualize para a versão 0.8.5 ou posterior.

Para versões do SPIRE anteriores à 0.9.4, atualize para a versão 0.9.4 ou posterior.

Para versões do SPIRE anteriores à 0.10.2, atualize para a versão 0.10.2 ou posterior.

Para versões do SPIRE anteriores à 0.11.3, atualize para a versão 0.11.3 ou posterior.

Para versões do SPIRE anteriores à 0.12.1, atualize para a versão 0.12.1 ou posterior.

Como solução alternativa temporária, considere restringir o acesso ao “FetchX509SVID RPC” da API do Nodo Legado do SPIRE Server até que um patch esteja disponível.