CVE-2022-46167

Versões do Capsule anteriores à 0.1.3

O Capsule é uma estrutura multilocatária e baseada em políticas para o Kubernetes. Uma ServiceAccount implantada em um namespace de locatário, quando recebe permissões PATCH em seu próprio namespace, é capaz de editá-lo e remover a referência do proprietário, interrompendo a reconciliação do Capsule Operator e removendo todas as medidas de aplicação, como anotações de segurança de pod, políticas de rede, intervalos de limite e itens de cota de recursos. Um invasor poderia desanexar o Namespace de um Tenant que está proibindo a inicialização de Pods privilegiados usando as etiquetas de segurança de Pod, removendo a Referência do Proprietário, removendo as etiquetas de imposição e conseguindo iniciar contêineres privilegiados que seriam capazes de iniciar uma escalada de privilégios genérica no Kubernetes.

Para versões anteriores à 0.1.3, atualize para a versão 0.1.3 para resolver o problema. Como solução alternativa temporária, considere restringir os recursos PATCH no Namespace para a ServiceAccount implantada no Namespace do Tenant até que a atualização seja aplicada. Além disso, restrinja o acesso ao OwnerReference vulnerável e às etiquetas de aplicação, como anotações de segurança de Pod, políticas de rede, intervalo de limite e itens de cota de recursos, para minimizar o risco de exploração.