CVE-2022-23525

Versões do Helm anteriores à 3.10.3

O problema diz respeito a uma referência a um ponteiro nulo no pacote repo do Helm, o que pode levar a uma negação de serviço. O pacote repo processa o arquivo de índice de um repositório e o carrega em estruturas com as quais o Go pode trabalhar. Certos arquivos de índice podem causar a criação de estruturas de dados em matriz, resultando em uma violação de memória. Quando tal arquivo de índice é encontrado, o cliente Helm entra em pânico, mas como o Helm não é um serviço de longa duração, esse pânico não afetará usos futuros do cliente Helm. Aplicativos que utilizam o pacote repo no SDK do Helm para analisar um arquivo de índice podem sofrer com esse problema quando a entrada causa um pânico do qual não é possível se recuperar.

Para versões anteriores à 3.10.3, atualize para a versão 3.10.3 para resolver o problema.

Como solução alternativa temporária, os usuários do SDK podem validar se os arquivos de índice estão formatados corretamente antes de passá-los para as funções repo.