Paul Holzinger

Nome do Software Vulnerável e Versões Afetadas: Podman (versões afetadas não especificadas) Descrição: Foi encontrada uma falha no Podman na qual o comando `podman machine init` não verifica o certificado TLS ao baixar as imagens de VM de um registro OCI, resultando em um potencial ataque Man-in-the-Middle. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do podman 4.0.0 até 5.6.1 **Descrição** Existe uma vulnerabilidade no podman onde um atacante pode usar o comando `kube play` para sobrescrever arquivos do host. Isso ocorre quando o arquivo kube contém uma montagem de volume Secret ou ConfigMap, e esse volume contém um link simbólico para um caminho de arquivo do host. Em um ataque bem-sucedido, o atacante pode controlar o arquivo de destino a ser sobrescrito, mas não o conteúdo gravado no arquivo. **Recomendações** Atualize o podman para a versão 5.6.1 ou posterior.

**Nome do software vulnerável e versões afetadas** containers/common (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma falha na biblioteca Go containers/common, que processa incorretamente determinados caminhos de arquivo quando o modo FIPS está ativado no sistema. Isso permite que um invasor explore links simbólicos, induzindo o sistema a montar diretórios confidenciais do host dentro de um contêiner e acessar arquivos críticos do host, contornando assim o isolamento pretendido entre os contêineres e o sistema host. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.