Voltar ao catalogoSEC2-13
RequireHttpsMetadata hardcoded como false nos deployments YAML de producao
MediumAchado ConfirmadoInfraestruturaRodada 2
Evidencia
`.github/kubernetes/production/api.yaml` linhas 70-71: `- name: AuthServer__RequireHttpsMetadata value: "false"`. Mesmo em `authserver.yaml` linha 51.
Impacto Tecnico
HTTPS metadata nunca habilitado mesmo apos correcao do ConfigMap.
Impacto de Negocio
Autenticacao vulneravel a MITM na rede interna.
Recomendacao
Remover value: "false" hardcoded dos deployments. Usar configMapKeyRef e definir "true".
Arquivos Afetados
.github/kubernetes/production/api.yaml.github/kubernetes/production/authserver.yaml
Achados Relacionados
Acoes Relacionadas
{
"id": "SEC2-13",
"title": "RequireHttpsMetadata hardcoded como false nos deployments YAML de producao",
"severity": "Medium",
"type": "achado confirmado",
"category": "infrastructure",
"description": "`AuthServer__RequireHttpsMetadata` definido como `\"false\"` diretamente em `api.yaml` (nao via ConfigMap), impossibilitando correcao via ConfigMap.",
"evidence": "`.github/kubernetes/production/api.yaml` linhas 70-71: `- name: AuthServer__RequireHttpsMetadata value: \"false\"`. Mesmo em `authserver.yaml` linha 51.",
"technicalImpact": "HTTPS metadata nunca habilitado mesmo apos correcao do ConfigMap.",
"businessImpact": "Autenticacao vulneravel a MITM na rede interna.",
"recommendation": "Remover `value: \"false\"` hardcoded dos deployments. Usar `configMapKeyRef` e definir `\"true\"`.",
"files": [
".github/kubernetes/production/api.yaml",
".github/kubernetes/production/authserver.yaml"
],
"pass": 2,
"relatedActions": [
"ACT-5.3.4"
],
"relatedFindings": [
"HIGH-03"
]
}
Descricao
AuthServer__RequireHttpsMetadatadefinido como"false"diretamente emapi.yaml(nao via ConfigMap), impossibilitando correcao via ConfigMap.