CVE-2022-23524

Versões do Helm anteriores à 3.10.3

O Helm é uma ferramenta para gerenciar Charts, recursos pré-configurados do Kubernetes. A vulnerabilidade resulta em consumo descontrolado de recursos, levando a um ataque de negação de serviço. Entradas nas funções do pacote strvals podem causar um estouro de pilha, o que não pode ser recuperado no Go. Aplicativos que utilizam funções do pacote strvals no Helm SDK podem sofrer um ataque de negação de serviço quando o pacote entra em pânico. O pacote strvals contém um analisador que transforma strings em estruturas Go, e algumas entradas de string podem causar a criação de estruturas de dados em matriz, levando a um estouro de pilha. O Helm Client entrará em pânico com entradas em sintaxes como --set, --set-string e outras sintaxes de definição de valor que causam um estouro de pilha.

Para versões anteriores à 3.10.3, atualize para a versão 3.10.3 para resolver o problema.

Como solução alternativa temporária, os usuários do SDK podem validar as strings fornecidas pelos usuários para garantir que elas não criem grandes matrizes que causem uso significativo de memória antes de passá-las para as funções strvals.