PT-2022-3346 · Coreos+5 · Ignition+5
Govulnbot
+1
·
Publicado
2022-01-11
·
Atualizado
2024-08-21
·
CVE-2022-1706
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Ignition anteriores à 2.14.0
Descrição
Foi identificada uma vulnerabilidade no Ignition que permite o acesso às configurações do Ignition a partir de contêineres sem privilégios em máquinas virtuais (VMs) executadas em produtos VMware. Esse problema é relevante apenas em ambientes de usuário nos quais a configuração do Ignition contém segredos. O maior risco dessa vulnerabilidade é à confidencialidade dos dados.
Recomendações
Para versões do Ignition anteriores à 2.14.0, considere atualizar para o Ignition 2.14.0 ou posterior, que adiciona um novo serviço systemd,
ignition-delete-config.service, que exclui a configuração do Ignition dos hipervisores compatíveis durante a primeira inicialização.Como solução alternativa temporária, evite armazenar segredos nas configurações do Ignition.
Se você tiver ferramentas externas que exijam que a configuração do Ignition permaneça acessível nos metadados da VM após o provisionamento, e sua configuração do Ignition não incluir informações confidenciais, você pode impedir que o Ignition 2.14.0 e versões posteriores excluam a configuração mascarando o
ignition-delete-config.service.Correção
Incorrect Authorization
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Ignition
Red Hat
Rocky Linux
Suse