CVE-2024-43803

Versões do baremetal-operator anteriores à 0.8.0

Versões do baremetal-operator anteriores à 0.6.2

Versões do baremetal-operator anteriores à 0.5.2

O Bare Metal Operator (BMO) implementa uma API do Kubernetes para gerenciar hosts bare metal no Metal3. O CRD BareMetalHost (BMH) permite que os campos userData, metaData e networkData do host provisionado sejam especificados como links para Segredos do Kubernetes. Um usuário com permissão para criar ou editar um BareMetalHost pode extrair um Segredo de outro namespace, utilizando-o, por exemplo, como userData para provisionar algum host. O BMO lerá apenas uma chave com o nome value (ou userData, metaData ou networkData), o que limita um pouco a exposição. Segredos usados por outros BareMetalHosts em diferentes namespaces estão sempre vulneráveis. Essa vulnerabilidade só é significativa se o cluster tiver usuários além dos administradores e os privilégios dos usuários estiverem limitados aos seus respectivos namespaces.

Para versões anteriores à 0.8.0, atualize para a versão 0.8.0 ou posterior.

Para versões anteriores à 0.6.2, atualize para a versão 0.6.2 ou posterior.

Para versões anteriores à 0.5.2, atualize para a versão 0.5.2 ou posterior.

Antes da atualização, duplique os segredos do BMC para o namespace onde o BMH correspondente está localizado.

Após a atualização, remova os segredos antigos.

Como solução alternativa temporária, configure o RBAC do BMO para ter escopo de namespace para segredos, em vez de escopo de cluster, para impedir que o BMO acesse segredos de