CVE-2022-23526

Versões do Helm anteriores à 3.10.3

O problema diz respeito a uma referência a um ponteiro nulo no pacote chartutil, que pode causar uma violação de segmentação. Esse pacote contém um analisador que carrega um arquivo de validação de esquema JSON, o qual pode ser usado pelo cliente Helm para validar valores de gráficos. Certos arquivos de esquema podem causar a criação de estruturas de dados em matriz, levando a uma violação de memória. Isso pode resultar em uma negação de serviço quando a entrada causa um pânico do qual não é possível se recuperar. O cliente Helm entrará em pânico com um arquivo de esquema que cause um pânico por violação de memória, mas, como o Helm não é um serviço de longa duração, o pânico não afetará usos futuros do cliente Helm.

Para versões anteriores à 3.10.3, atualize para a versão 3.10.3 para resolver o problema.

Como solução alternativa temporária, os usuários do SDK podem validar os arquivos de esquema que estejam formatados corretamente antes de passá-los para as funções chartutil.