Steven J. Murdoch

**Nome do software vulnerável e versões afetadas** CRI-O (versões afetadas não especificadas) **Descrição** O problema está relacionado ao tratamento incorreto de grupos suplementares no mecanismo de contêiner CRI-O, o que pode levar à divulgação de informações confidenciais ou à possível modificação de dados. Isso pode ocorrer se um invasor tiver acesso direto ao contêiner afetado, onde grupos suplementares são usados para definir permissões de acesso, e for capaz de executar código binário nesse contêiner. A vulnerabilidade está associada ao controle inadequado de acesso e pode permitir que um invasor divulgue informações confidenciais ou modifique dados arbitrários. Em alguns casos, também pode permitir a escalada de privilégios dentro do contêiner. O problema surge quando programas SGID são executados em um contêiner, permitindo potencialmente o acesso a arquivos com permissões de grupo negativas para o grupo primário do usuário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do containerd anteriores à 1.6.18 e à 1.5.18 Versões do Moby (Docker Engine) anteriores à 20.10.18 CRI-O (versões afetadas não especificadas) Buildah (versões afetadas não especificadas) Podman (versões afetadas não especificadas) **Descrição** Foi encontrado um bug no containerd, Moby (Docker Engine), CRI-O, Buildah e Podman, no qual grupos suplementares não são configurados corretamente dentro de um contêiner. Se um invasor tiver acesso direto a um contêiner e manipular o acesso ao grupo suplementar, ele poderá, em alguns casos, usar esse acesso para contornar as restrições do grupo primário, potencialmente obtendo acesso a informações confidenciais ou a capacidade de executar código nesse contêiner. Aplicativos downstream que utilizam a biblioteca cliente do containerd também podem ser afetados. **Recomendações** Para versões do containerd anteriores à 1.6.18 e 1.5.18: atualize para as versões 1.6.18 e 1.5.18 e recrie os contêineres para resolver este problema. Para versões do Moby (Docker Engine) anteriores à 20.10.18: atualize para a versão 20.10.18 quando estiver disponível e pare e reinicie os contêineres em execução para que as permissões sejam corrigidas. Para CRI-O, Buildah e Podman: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Como solução alternativa temporária para todas as versões afetadas, certifique-se de que a instrução “USER $USERNAME” do Dockerfile não seja usada. Em vez disso, defina o ponto de entrada do contêiner para um valor semelhante a `ENTRYP

**Nome do software vulnerável e versões afetadas** Moby (Docker Engine) versões anteriores à 20.10.18 Podman (versões afetadas não especificadas) CRI-O (versões afetadas não especificadas) Buildah (versões afetadas não especificadas) Docker (versões afetadas não especificadas) **Descrição** Um tratamento incorreto de grupos suplementares em motores de contêineres pode levar à divulgação de informações confidenciais ou à possível modificação de dados se um invasor tiver acesso direto ao contêiner afetado e for capaz de executar código binário. Essa vulnerabilidade pode permitir que invasores contornem restrições de grupos primários, potencialmente obtendo acesso a informações confidenciais ou a capacidade de executar código no contêiner. O problema ocorre quando os grupos suplementares não são configurados corretamente, permitindo acesso não autorizado a arquivos. **Recomendações** Para versões do Moby (Docker Engine) anteriores à 20.10.18, atualize para a versão 20.10.18 ou posterior. Para usuários que não possam atualizar para a versão 20.10.18 ou posterior do Moby (Docker Engine), não use a instrução “USER $USERNAME” no Dockerfile; em vez disso, chame ENTRYPOINT [‘su’, “-”, “user”] para configurar os grupos suplementares corretamente. Como solução alternativa temporária para outros motores de contêineres afetados, considere restringir o acesso a contêineres nos quais grupos suplementares são usados para definir permissões de acesso até que um patch esteja disponível. Para contêineres nos quais programas SGID são executados, considere desativar a execução desses programas até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Buildah anteriores à 20.10.18 Versões do CRI-O anteriores à 20.10.18 Versões do Docker anteriores à 20.10.18 Versões do Moby (Docker Engine) anteriores à 20.10.18 Versões do Podman anteriores à 20.10.18 **Descrição** O problema decorre de um tratamento incorreto de grupos suplementares em vários motores de contêineres, incluindo Buildah, CRI-O, Docker, Moby e Podman. Isso pode levar à divulgação de informações confidenciais ou à possível modificação de dados se um invasor tiver acesso direto ao contêiner afetado e for capaz de executar código binário dentro dele. O problema ocorre quando os grupos suplementares não são configurados corretamente, permitindo que invasores contornem as restrições do grupo primário em alguns casos e potencialmente elevem privilégios dentro do contêiner. Por exemplo, programas SGID executados em um contêiner podem acessar arquivos com permissões de grupo negativas para o grupo primário do usuário, devido à falha do mecanismo de contêiner em adicionar corretamente o grupo primário aos grupos suplementares. **Recomendações** Para versões do Buildah anteriores à 20.10.18: atualize para a versão 20.10.18 ou posterior. Para versões do CRI-O anteriores à 20.10.18: atualize para a versão 20.10.18 ou posterior. Para versões do Docker anteriores à 20.10.18: atualize para a versão 20.10.18 ou posterior e considere parar e reiniciar os contêineres em execução para que as permissões sejam corrigidas. Como solução alternativa temporária, evite usar a instrução “USER $USERNAME” no Dockerfile; em vez disso, use ENTRYPOINT [‘su’, “-”, “user”] para definir

Name of the Vulnerable Software and Affected Versions: Tor (affected versions not specified) Description: The issue allows remote attackers to discover the IP address of a hidden service by accessing it at a high rate. This causes a change in the server's CPU temperature, which in turn alters the pattern of time values visible through ICMP timestamps, TCP sequence numbers, and TCP timestamps. Recommendations: At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Image processing software (affected versions not specified) **Description** A design flaw in the software that modifies JPEG images might not modify the original EXIF thumbnail, potentially leading to an information leak of sensitive visual information that had been removed from the main JPEG image. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.