CVE-2024-41129

Versões do ops anteriores à 2.15.0

O problema decorre do fato de a biblioteca ops passar conteúdo confidencial como argumento por meio da interface de linha de comando (CLI). Isso pode afetar charms que utilizam o Juju (>=3.0) e segredos do Juju, especialmente se eles não capturarem e processarem corretamente o subprocess.CalledProcessError. A vulnerabilidade pode levar à exposição de segredos, como chaves privadas e senhas, por meio de logs ou outros meios, permitindo potencialmente que um invasor obtenha acesso privilegiado.

Para resolver o problema, atualize para a versão 2.15.0 ou posterior. Como solução temporária, considere implementar uma das estratégias de mitigação sugeridas, como ocultar argumentos secretos dos logs, usar arquivos temporários para segredos ou passar segredos por stdin, se for compatível com os comandos de segredos. Restrinja o acesso aos logs e garanta o tratamento adequado de subprocess.CalledProcessError para minimizar o risco de exposição de segredos.