CVE-2021-3917

Versões do coreos-installer anteriores à 0.10.0

Foi identificada uma falha no coreos-installer, na qual ele grava a configuração do Ignition no sistema de destino com permissões de acesso legíveis por todos. Essa falha permite que um invasor local tenha acesso de leitura a dados potencialmente confidenciais, representando uma ameaça à confidencialidade. Em sistemas instalados com o coreos-installer anterior à versão 0.10.0, a configuração do Ignition fornecida pelo usuário era gravada em /boot/ignition/config.ign com permissões de leitura para todos, concedendo a usuários sem privilégios acesso a quaisquer segredos incluídos na configuração.

Para versões do coreos-installer anteriores à 0.10.0, atualize para o coreos-installer 0.10.0 ou posterior, que grava a configuração do Ignition com permissões restritas.

Em sistemas Fedora CoreOS instalados a partir da versão 34.20210711.3.0 (estável), 34.20210711.2.0 (teste), 34.20210711.1.1 (próxima) e posteriores, nenhuma ação é necessária, pois o diretório /boot/ignition e seu conteúdo são removidos após a conclusão do provisionamento.

Em outros sistemas, remova manualmente /boot/ignition/config.ign executando os comandos:

sudo mount -o remount,rw /boot

sudo rm -rf /boot/ignition

Como solução temporária, considere restringir o acesso ao arquivo /boot/ignition/config.ign até que um patch esteja disponível.