Andrew G. Morgan

**Nome do software vulnerável e versões afetadas** Versões do runc anteriores à 1.1.2 **Descrição** Foi encontrado um bug no runc em que `runc exec --cap` criava processos com capacidades de processo Linux herdáveis não vazias, criando um ambiente Linux atípico e permitindo que programas com capacidades de arquivo herdáveis elevassem essas capacidades ao conjunto permitido durante o execve(2). Esse bug não afetou a sandbox de segurança do contêiner, pois o conjunto herdável nunca continha mais capacidades do que as incluídas no conjunto de limites do contêiner. **Recomendações** Para versões anteriores à 1.1.2, atualize para a versão 1.1.2 para corrigir o bug, o que altera o comportamento de `runc exec --cap` para não incluir capacidades herdáveis e modifica `runc spec` para não definir nenhuma capacidade herdável no arquivo de especificação OCI de exemplo criado (`config.json`).

**Nome do software vulnerável e versões afetadas** Versões do cri-o anteriores à v1.24.0 **Descrição** Foi identificada uma falha no cri-o em que os contêineres eram iniciados incorretamente com permissões padrão não vazias, permitindo que um invasor com acesso a programas com capacidades de arquivo herdáveis elevasse essas capacidades ao conjunto permitido quando a função execve(2) fosse executada. Esse bug cria um ambiente Linux atípico, permitindo que programas com capacidades de arquivo herdáveis elevem essas capacidades até o conjunto de limites do contêiner. Os contêineres que utilizam usuários e grupos do Linux para realizar a separação de privilégios dentro do contêiner são os mais diretamente afetados. **Recomendações** Para versões anteriores à v1.24.0, atualize para a versão v1.24.0 ou posterior o mais rápido possível. Após a atualização, pare, exclua e recrie os contêineres em execução para redefinir os recursos herdáveis. Como solução alternativa temporária, considere modificar o ponto de entrada de um contêiner para usar um utilitário como o `capsh(1)` para remover os recursos herdáveis antes do início do processo principal.

**Nome do software vulnerável e versões afetadas** Versões do Moby (Docker Engine) anteriores à 20.10.14 **Descrição** Foi encontrado um bug no Moby (Docker Engine) em que os contêineres eram iniciados incorretamente com capacidades de processo Linux herdáveis não vazias, criando um ambiente Linux atípico e permitindo que programas com capacidades de arquivo herdáveis elevassem essas capacidades ao conjunto permitido durante `execve(2)`. Contêineres que incluíam programas executáveis com capacidades de arquivo herdáveis permitiam que usuários e processos, que de outra forma não teriam privilégios, ganhassem adicionalmente essas capacidades de arquivo herdáveis até o conjunto de limites do contêiner. Os contêineres que utilizam usuários e grupos Linux para realizar a separação de privilégios dentro do contêiner são os mais diretamente afetados. Esse bug não afetou a sandbox de segurança do contêiner, pois o conjunto herdável nunca continha mais capacidades do que as incluídas no conjunto de limites do contêiner. **Recomendações** Para resolver o problema, atualize para a versão 20.10.14 ou posterior do Moby (Docker Engine). Para versões anteriores à 20.10.14, pare, exclua e recrie os contêineres em execução para redefinir os recursos herdáveis. Como solução alternativa temporária, considere modificar o ponto de entrada de um contêiner para usar um utilitário como `capsh(1)` para remover os recursos herdáveis antes do início do processo principal.