CVE-2022-39395

Versões do Vela Server anteriores à 0.16.0

Versões do Vela Worker anteriores à 0.16.0

Versões do Vela UI anteriores à 0.17.0

O problema diz respeito às configurações padrão no Vela que permitem exploração e fugas do contêiner. Especificamente, a execução de plug-ins do Vela como contêineres Docker privilegiados pode permitir que um usuário mal-intencionado fuja do contêiner e obtenha acesso ao sistema operacional do host do worker. Além disso, a configuração padrão de repositórios permitidos permite que qualquer pessoa com uma conta no GitHub habilite um repositório dentro do Vela e execute compilações, possibilitando potencialmente a execução de código arbitrário. Os eventos habilitados por padrão também permitem pull requests, o que pode representar um risco se segredos dentro do Vela estiverem configurados para ficarem disponíveis em pull requests.

Para versões do Vela Server anteriores à 0.16.0, atualize para a versão 0.16.0 ou posterior e altere explicitamente as configurações padrão para configurar o Vela conforme desejado.

Para versões do Vela Worker anteriores à 0.16.0, atualize para a versão 0.16.0 ou posterior e altere explicitamente as configurações padrão para configurar o Vela conforme desejado.

Para versões do Vela UI anteriores à 0.17.0, atualize para a versão 0.17.0 ou posterior e altere explicitamente as configurações padrão para configurar o Vela conforme desejado.

Como solução alternativa temporária, considere ajustar a configuração VELA RUNTIME PRIVILEGED IMAGES do worker para que fique explicitamente vazia, utilizando a configuração VELA REPO ALLOWLIST no componente do servidor para restringir o acesso a uma lista de repositórios