CVE-2024-45497

Nome do software vulnerável e versões afetadas:

OpenShift versão 4

JBoss Fuse versão 7

Descrição:

Foi identificada uma falha no processo de compilação, em que o contêiner docker-build está configurado com uma montagem de volume hostPath que mapeia o arquivo /var/lib/kubelet/config.json do nó para o pod de compilação. Esse arquivo contém credenciais confidenciais necessárias para baixar imagens de repositórios privados. A montagem não é somente de leitura, o que permite que um invasor a sobrescreva. Ao modificar o arquivo config.json, o invasor pode causar uma negação de serviço, impedindo que o nó baixe novas imagens e, potencialmente, exfiltrando segredos confidenciais. Esse problema afeta a disponibilidade de serviços que dependem do download de imagens e expõe informações confidenciais a partes não autorizadas.

Recomendações:

Para o OpenShift versão 4, considere desativar a montagem do volume hostPath até que um patch esteja disponível para impedir a sobrescrita do arquivo config.json.

Para o JBoss Fuse versão 7, restrinja o acesso ao arquivo config.json para minimizar o risco de exploração.

Como solução alternativa temporária, evite usar o arquivo config.json no pod de compilação afetado até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.