PT-2022-4431 · Helm+2 · Helm+2
Adam Korcz
+1
·
Publicado
2022-08-24
·
Atualizado
2025-11-28
·
CVE-2022-36055
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Helm anteriores à 3.9.4
Descrição
O problema está relacionado ao pacote strvals no Helm SDK, que contém um analisador que converte strings em estruturas Go. Algumas entradas de string podem fazer com que sejam criadas estruturas de dados do tipo array, levando a um erro de pânico por falta de memória. Aplicativos que utilizam o pacote strvals para analisar entradas fornecidas pelo usuário podem sofrer um ataque de negação de serviço quando essa entrada causa um erro de pânico irrecuperável. O Helm Client entrará em pânico com entradas para
--set, --set-string e outros sinalizadores de configuração de valores que causem um erro de pânico por falta de memória.O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível.
Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.
Recomendações
Para versões anteriores à 3.9.4, atualize para a versão 3.9.4 para resolver o problema.
Como solução alternativa temporária, os usuários do SDK podem validar as strings fornecidas pelos usuários para garantir que elas não criem matrizes grandes que causem uso significativo de memória antes de passá-las para as funções strvals .
Exploit
Correção
DoS
Allocation of Resources Without Limits
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Helm
Suse