Dmcgowan

**Nome do software vulnerável e versões afetadas** Versões do containerd de 1.5.0-beta.0 a 1.5.8 **Descrição** O problema afeta instalações que utilizam o SELinux, como EL8 (CentOS, RHEL), Fedora ou SUSE MicroOS, com o containerd como interface de tempo de execução do contêiner (CRI). Um pod sem privilégios agendado para o nó pode realizar uma montagem vinculada, por meio do volume hostPath, de qualquer arquivo regular com privilégios no disco para obter acesso completo de leitura/gravação. Isso é feito colocando o local dentro do contêiner da montagem do volume hostPath em `/etc/hosts`, `/etc/hostname` ou `/etc/resolv.conf`. Esses locais estão sendo renomeados indiscriminadamente para corresponder ao rótulo do processo do contêiner, o que efetivamente eleva as permissões para contêineres experientes que normalmente não teriam acesso a arquivos privilegiados do host. **Recomendações** Para as versões do containerd 1.5.0-beta.0 a 1.5.8, atualize para a versão 1.5.9 o mais rápido possível. Como solução alternativa temporária, certifique-se de que nenhum arquivo ou diretório confidencial seja usado como local de origem do volume hostPath. Considere implementar mecanismos de aplicação de políticas, como a Política de Segurança de Pod do Kubernetes, para limitar os arquivos e diretórios que podem ser montados por ligação em contêineres.