CVE-2021-31999

Versões do Rancher anteriores à 2.5.9

Versões do Rancher anteriores à 2.4.16

Uma vulnerabilidade no Rancher permite que usuários do cluster se façam passar por outros usuários falsificando os cabeçalhos Impersonate-User ou Impersonate-Group. Este problema está relacionado a erros no processamento de dados de entrada e pode ser explorado por um invasor remoto para escalar privilégios. A vulnerabilidade pode ser explorada passando o cabeçalho Impersonate-User ou Impersonate-Group no cabeçalho Connection de uma solicitação de API ao proxy da API do Kubernetes de um cluster gerenciado. Isso permite que um usuário mal-intencionado do Rancher obtenha acesso a informações às quais não tem permissão.

Para versões do Rancher anteriores à 2.5.9, atualize para a versão 2.5.9 ou posterior.

Para versões do Rancher anteriores à 2.4.16, atualize para a versão 2.4.16 ou posterior.

Como solução temporária, considere restringir o acesso aos cabeçalhos Impersonate-User e Impersonate-Group no cabeçalho Connection até que um patch esteja disponível.

Evite usar os cabeçalhos Impersonate-User e Impersonate-Group em solicitações de API ao proxy da API do Kubernetes de um cluster gerenciado até que o problema seja resolvido.