CVE-2021-41254

Versões do kustomize-controller anteriores à 0.15.0

A vulnerabilidade está relacionada ao kustomize-controller, um operador do Kubernetes para a execução de pipelines de entrega contínua. Ele permite que usuários capazes de criar Segredos do Kubernetes, Contas de Serviço e objetos de personalização do Flux executem comandos dentro do contêiner do kustomize-controller ao incorporar um script de shell em um Segredo do Kubernetes. Isso pode ser usado para executar comandos kubectl sob a Conta de Serviço do kustomize-controller, permitindo assim que um usuário autenticado do Kubernetes obtenha privilégios de administrador do cluster. A vulnerabilidade afeta ambientes multilocatários onde usuários não administradores têm permissões para criar objetos Flux Kustomization.

Para resolver o problema, atualize para a versão 0.15.0 ou posterior do kustomize-controller, que não executa mais comandos de shell no sistema operacional do contêiner e tem o binário kubectl removido da imagem do contêiner.

Como solução alternativa temporária, considere usar um webhook de validação do Kubernetes, como o Gatekeeper OPA ou o Kyverno, para impedir a criação de contas de serviço do Kubernetes com segredos em namespaces pertencentes a locatários.