Andrew Morgan

**Nome do software vulnerável e versões afetadas** Buildah (versões afetadas não especificadas) Moby (Docker Engine) (versões afetadas não especificadas) **Descrição** Foi encontrada uma falha no buildah e no Moby (Docker Engine) em que os contêineres eram iniciados incorretamente com permissões padrão não vazias e capacidades de processo Linux herdáveis não vazias. Isso permite que um invasor com acesso a programas com capacidades de arquivo herdáveis eleve essas capacidades ao conjunto permitido quando `execve(2)` é executado, afetando potencialmente a confidencialidade e a integridade. O bug não afeta a sandbox de segurança do contêiner, pois o conjunto herdável nunca contém mais capacidades do que as incluídas no conjunto de limites do contêiner. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Podman (versões afetadas não especificadas) **Descrição** O problema está relacionado a erros no uso de permissões padrão, permitindo que um invasor contorne restrições de segurança e eleve privilégios. Isso ocorre porque os contêineres são iniciados com permissões padrão não vazias e capacidades de processo Linux herdáveis não vazias. A falha permite que programas com capacidades de arquivo herdáveis elevem essas capacidades ao conjunto permitido quando o execve(2) é executado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Moby (Docker Engine) (versões afetadas não especificadas) crun (versões afetadas não especificadas) **Descrição** Foi identificada uma falha no crun e no Moby (Docker Engine) em que os contêineres eram iniciados incorretamente com capacidades de processo Linux herdáveis não vazias. Essa vulnerabilidade permite que um invasor com acesso a programas com capacidades de arquivo herdáveis eleve essas capacidades ao conjunto permitido quando `execve(2)` é executado. **Recomendações** Para o Moby (Docker Engine), no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Para o crun, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.