Ian Coldwater

**Nome do software vulnerável e versões afetadas: versões 1.2.0 a 1.2.13 do containerd Descrição: O problema está relacionado ao tratamento incorreto do manifesto da imagem no ambiente de execução do containerd. Se o manifesto de uma imagem de contêiner incluir uma URL para uma camada específica da imagem, o resolvedor padrão do containerd seguirá essa URL para tentar baixá-la. Nas versões 1.2.x, o resolvedor padrão do containerd fornecerá suas credenciais de autenticação se o servidor onde a URL está localizada apresentar um código de status HTTP 401 juntamente com cabeçalhos HTTP específicos do registro. Isso permite que um invasor obtenha as credenciais usadas para baixar a imagem, que podem incluir o nome de usuário e a senha do usuário para o registro ou credenciais associadas à instância virtual na nuvem, concedendo acesso a outros recursos de nuvem na conta. Recomendações: Para as versões 1.2.0 a 1.2.13 do containerd, atualize para a versão 1.2.14 ou posterior para corrigir a vulnerabilidade. Para usuários do cri-containerd da série 1.2 ou anterior, certifique-se de baixar imagens apenas de fontes confiáveis. Se você estiver usando o containerd 1.3 ou posterior, não será afetado por este problema.