CVE-2023-30841 in Baremetal Operator
要約
〜によって VulDB • 2026年05月11日
Baremetal Operator (BMO) は、Kubernetes 向けのベアメタルホストのプロビジョニング統合機能です。バージョン 0.3.0 より前では、Baremetal Operator 内で `deploy.sh` を使用してデプロイされる ironic および ironic-inspector は、`.htpasswd` ファイルを Secrets ではなく ConfigMaps として保存していました。これにより、管理クラスターへのクラスター全体の読み取りアクセス権限を持つユーザー、または管理クラスターの Etcd ストレージにアクセスできるユーザーであれば、誰でも平文のユーザー名とハッシュ化されたパスワードを読み取ることが可能になります。この問題は baremetal-operator の PR#1241 で修正されており、BMO リリース 0.3.0 以降に含まれています。回避策として、ユーザーは kustomizations を修正して BMO を再デプロイするか、または baremetal-operator PR#1241 の指示に従って、必要な ConfigMaps を Secrets として再生成することができます。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.