CVE-2024-36127

Versões do apko anteriores à 0.14.5

O problema diz respeito à exposição de credenciais de autenticação básica HTTP de URLs de repositórios e chaveiros na saída de log. Isso ocorre devido ao uso do verbo %s para formatar um url.URL como uma string, o que inclui credenciais de autenticação básica HTTP não ocultadas, caso estejam incluídas na URL. Além disso, valores de URL em forma de string provenientes de arquivos de configuração não eram analisados como URLs, resultando na impossibilidade de ocultar as credenciais. Para usuários que acessam o conteúdo do keyring ou do repositório APK usando autenticação básica HTTP, as credenciais estavam sendo registradas em texto simples, dependendo das configurações de registro do usuário. Isso poderia levar a um vazamento interno da empresa ou público de credenciais, especialmente se o apko for usado em tarefas de integração contínua.

Para versões anteriores à 0.14.5, atualize para a versão 0.14.5 para corrigir o problema. Como solução temporária, considere desativar o registro de informações confidenciais, como credenciais de autenticação básica HTTP, até que a atualização seja aplicada. Restrinja o acesso à saída de log para minimizar o risco de exposição de credenciais. Evite usar credenciais de autenticação básica HTTP em URLs de repositórios e chaveiros até que o problema seja resolvido.