Etienne Champetier

**Nome do software vulnerável e versões afetadas** Não há menção a nenhum software ou versão específica nas descrições fornecidas. **Descrição** O problema está relacionado à implementação do protocolo de encapsulamento Ethernet, especificamente no que diz respeito à combinação de cabeçalhos. Isso poderia permitir que um invasor remoto causasse uma negação de serviço ou realizasse um ataque man-in-the-middle (MITM). Recursos de filtragem de rede da Camada 2, como IPv6 RA Guard ou inspeção ARP, podem ser contornados usando combinações de cabeçalhos VLAN 0 e cabeçalhos LLC/SNAP. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Windows Hyper-V (versões afetadas não especificadas) **Descrição** O problema está relacionado a erros nas configurações de segurança do serviço Windows Hyper-V, que podem ser explorados por um invasor remoto para causar uma negação de serviço através do envio de dados especialmente criados para esse fim. Isso permite que os invasores afetem o sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Docker Engine anteriores à 19.03.11 **Descrição** O problema está relacionado à falta de validação de entrada no componente CAP NET RAW do Docker Engine, o que pode ser explorado por um invasor remoto para obter acesso a informações confidenciais, comprometer a integridade dos dados e causar uma negação de serviço. Um invasor com a capacidade CAP NET RAW em um contêiner pode criar anúncios de roteador IPv6 para falsificar hosts IPv6 externos. **Recomendações** Para versões do Docker Engine anteriores à 19.03.11, atualize para a versão 19.03.11 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso da capacidade CAP NET RAW em contêineres para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** CNI versions 0.7.4 and earlier Kubernetes versions prior to 1.11.9 Kubernetes versions prior to 1.12.7 Kubernetes versions prior to 1.13.5 Kubernetes versions prior to 1.14.0 **Description** The issue is related to a network firewall misconfiguration in the CNI 'portmap' plugin. This plugin is used to set up HostPorts for CNI and inserts rules at the front of the iptables nat chains, which take precedence over the KUBE-SERVICES chain. As a result, the HostPort/portmap rule could match incoming traffic even if there were better fitting, more specific service definition rules like NodePorts later in the chain. **Recommendations** For CNI version 0.7.4, update to version 0.7.5 to resolve the issue. For Kubernetes versions prior to 1.11.9, update to version 1.11.9 or later. For Kubernetes versions prior to 1.12.7, update to version 1.12.7 or later. For Kubernetes versions prior to 1.13.5, update to version 1.13.5 or later. For Kubernetes versions prior to 1.14.0, update to version 1.14.0 or later.

**Nome do software vulnerável e versões afetadas** Versões do runc anteriores à 1.0.0-rc95 **Descrição** A vulnerabilidade permite a fuga do sistema de arquivos de um contêiner por meio de traversal de diretórios. Para explorar essa vulnerabilidade, um invasor precisa ser capaz de criar vários contêineres com uma configuração de montagem bastante específica. O problema ocorre por meio de um ataque de troca de links simbólicos que se baseia em uma condição de corrida, especificamente uma falha do tipo “time-of-check-to-time-of-use” (TOCTTOU). Isso pode ser explorado criando-se um link simbólico em um volume para um diretório de nível superior de onde os volumes são originados e, em seguida, usando esse link simbólico como destino de uma montagem. A origem da montagem é um diretório controlado pelo invasor, permitindo que ele faça a montagem vinculada do sistema de arquivos do host no contêiner. Embora mecanismos recomendados de fortalecimento de contêineres, como LSMs (AppArmor/SELinux) e namespaces de usuário, possam restringir os danos, eles não bloqueiam esse ataque completamente. **Recomendações** Para versões anteriores à 1.0.0-rc95, atualize para a versão 1.0.0-rc95 ou posterior para corrigir o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade `runc` vulnerável até que um patch seja aplicado e imponha a execução de contêineres com perfis de segurança mais restritos, como recursos reduzidos, não execução de código como root no contêiner, namespaces de usuário, AppArmor/SELinux e seccomp.