"value":"Talos Linux is a Linux distribution built for Kubernetes deployments. Talos worker nodes use a join token to get accepted into the Talos cluster. Due to improper validation of the request while signing a worker node CSR (certificate signing request) Talos control plane node might issue Talos API certificate which allows full access to Talos API on a control plane node. Accessing Talos API with full level access on a control plane node might reveal sensitive information which allows full level access to the cluster (Kubernetes and Talos PKI, etc.). Talos API join token is stored in the machine configuration on the worker node. When configured correctly, Kubernetes workloads don't have access to the machine configuration, but due to a misconfiguration workload might access the machine configuration and reveal the join token. This problem has been fixed in Talos 1.2.2. Enabling the Pod Security Standards mitigates the vulnerability by denying hostPath mounts and host networking by default in the baseline policy. Clusters that don't run untrusted workloads are not affected. Clusters with correct Pod Security configurations which don't allow hostPath mounts, and secure access to cloud metadata server (or machine configuration is not supplied via cloud metadata server) are not affected."
},
{
"lang":"es",
"value":"Talos Linux es una distribuci\u00f3n de Linux construida para los despliegues de Kubernetes. Los nodos trabajadores de Talos usan un token de uni\u00f3n para ser aceptados en el cl\u00faster de Talos. Debido a una comprobaci\u00f3n inapropiada de la petici\u00f3n mientras es firmado un CSR (solicitud de firma de certificado) de un nodo del plano de control de Talos, \u00e9ste podr\u00eda emitir un certificado de la API de Talos que permita el acceso completo a la API de Talos en un nodo del plano de control. El acceso a la API de Talos con acceso de nivel completo en un nodo del plano de control podr\u00eda revelar informaci\u00f3n confidencial que permite el acceso de nivel completo al cl\u00faster (Kubernetes y Talos PKI, etc.). El join token de la API Talos es almacenado en la configuraci\u00f3n de la m\u00e1quina en el nodo trabajador. Cuando es configurado correctamente, las cargas de trabajo de Kubernetes no presentan acceso a la configuraci\u00f3n de la m\u00e1quina, pero debido a una mala configuraci\u00f3n la carga de trabajo podr\u00eda acceder a la configuraci\u00f3n de la m\u00e1quina y revelar el token de uni\u00f3n. Este problema ha sido corregido en Talos versi\u00f3n 1.2.2. La habilitaci\u00f3n de las normas de seguridad de los pods mitiga la vulnerabilidad al denegar por defecto los montajes hostPath y las redes de host en la pol\u00edtica de l\u00ednea de base. Los clusters que no ejecutan cargas de trabajo no confiables no est\u00e1n afectados. Los clusters con configuraciones correctas de Pod Security que no permiten montajes hostPath, y acceso seguro al servidor de metadatos de la nube (o la configuraci\u00f3n de la m\u00e1quina no es suministrada por medio del servidor de metadatos de la nube) no est\u00e1n afectados"
