CVE-2021-36782

Versões do SUSE Rancher anteriores à 2.5.16

Versões do SUSE Rancher anteriores à 2.6.7

O problema está relacionado ao armazenamento de informações confidenciais em texto simples no SUSE Rancher, permitindo que usuários autenticados recuperem versões em texto simples de dados confidenciais usando a API do Kubernetes. Isso afeta várias funções, incluindo Proprietários de Clusters, Membros de Clusters, Proprietários de Projetos, Membros de Projetos e Base de Usuários. As credenciais expostas são visíveis em vários endpoints, incluindo “/v1/management.cattle.io.catalogs”, “/v1/management.cattle.io.cluster” e outros. A exposição do serviceAccountToken do Rancher permite que qualquer usuário padrão eleve seus privilégios para administrador de cluster no Rancher. Campos confidenciais foram corrigidos por esta correção de segurança, incluindo Notifier.SMTPConfig.Password, Notifier.WechatConfig.Secret e outros.

Para versões do SUSE Rancher anteriores à 2.5.16, atualize para a versão 2.5.16 ou posterior.

Para versões do SUSE Rancher anteriores à 2.6.7, atualize para a versão 2.6.7 ou posterior.

Como solução alternativa temporária, limite o acesso no Rancher a usuários confiáveis.

É altamente recomendável alternar o serviceAccountToken do Rancher após a atualização para uma versão corrigida.

Os clusters locais e downstream devem ser verificados quanto a possíveis serviços, usuários e chaves de API não reconhecidos.

Verifique se há possíveis credenciais vazadas e altere-as se for necessário.