CVE-2024-9594

Versões do Kubernetes Image Builder <= v0.1.37

Foi detectada uma falha de segurança no Kubernetes Image Builder, na qual as credenciais padrão são ativadas durante o processo de compilação de imagens ao utilizar determinados provedores, como Nutanix, OVA, QEMU ou raw. Isso permite que um invasor obtenha acesso root à máquina virtual. As credenciais são desativadas ao final do processo de construção da imagem. Os clusters do Kubernetes só são afetados se seus nós utilizarem imagens de VM criadas por meio do projeto Image Builder e se um invasor tiver conseguido acessar a VM onde a construção da imagem estava ocorrendo e tiver usado a vulnerabilidade para modificar a imagem no momento em que a construção estava em andamento.

Para versões do Kubernetes Image Builder <= v0.1.37, considere desativar as credenciais padrão durante o processo de construção da imagem como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à VM onde a construção da imagem está ocorrendo para minimizar o risco de exploração. Evite usar os provedores vulneráveis, como Nutanix, OVA, QEMU ou raw, até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.