CVE-2022-36103

Versões do Talos anteriores à 1.2.2

O problema está relacionado à validação inadequada da solicitação durante a assinatura de uma CSR (Certificate Signing Request) do nó de trabalho, o que pode permitir que um nó do plano de controle do Talos emita um certificado da API do Talos com acesso total à API do Talos. Isso poderia revelar informações confidenciais e permitir acesso total ao cluster. O token de adesão da API do Talos é armazenado na configuração da máquina no nó de trabalho. Configurações incorretas, como permitir montagens hostPath ou ler a configuração da máquina a partir de um servidor de metadados na nuvem, podem permitir que uma carga de trabalho acesse a configuração da máquina e revele o token de adesão.

Para versões anteriores à 1.2.2, atualize para o Talos 1.2.2 para corrigir o problema.

Como solução alternativa temporária, considere habilitar os Padrões de Segurança de Pod para negar montagens hostPath e redes de host por padrão na política de linha de base.

Restrinja o acesso à configuração da máquina e proteja o acesso ao servidor de metadados na nuvem para minimizar o risco de exploração.