CVE-2021-20238

OpenShift Container Platform 4 (versões afetadas não especificadas)

Verificou-se que a configuração do Ignition, fornecida pelo Machine Config Server, pode ser acessada externamente a partir de clusters sem autenticação. O endpoint do MCS (porta 22623) fornece a configuração do Ignition usada para inicializar nós e pode incluir alguns dados confidenciais, como segredos de pull do registro. Existem dois cenários em que esses dados podem ser acessados. O primeiro é em implantações Baremetal, OpenStack, Ovirt, Vsphere e KubeVirt que não possuem um endpoint de API interno separado e permitem o acesso de fora do cluster à porta 22623 a partir do endereço IP virtual padrão da API do OpenShift. O segundo ocorre em implantações em nuvem ao usar plug-ins de rede não suportados, que não criam regras de iptables para impedir o acesso à porta 22623. Nesse cenário, a configuração do Ignition fica exposta a todos os pods dentro do cluster e não pode ser acessada externamente.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.