CVE-2020-15157

**Nome do software vulnerável e versões afetadas:

versões 1.2.0 a 1.2.13 do containerd

Descrição:

O problema está relacionado ao tratamento incorreto do manifesto da imagem no ambiente de execução do containerd. Se o manifesto de uma imagem de contêiner incluir uma URL para uma camada específica da imagem, o resolvedor padrão do containerd seguirá essa URL para tentar baixá-la. Nas versões 1.2.x, o resolvedor padrão do containerd fornecerá suas credenciais de autenticação se o servidor onde a URL está localizada apresentar um código de status HTTP 401 juntamente com cabeçalhos HTTP específicos do registro. Isso permite que um invasor obtenha as credenciais usadas para baixar a imagem, que podem incluir o nome de usuário e a senha do usuário para o registro ou credenciais associadas à instância virtual na nuvem, concedendo acesso a outros recursos de nuvem na conta.

Recomendações:

Para as versões 1.2.0 a 1.2.13 do containerd, atualize para a versão 1.2.14 ou posterior para corrigir a vulnerabilidade.

Para usuários do cri-containerd da série 1.2 ou anterior, certifique-se de baixar imagens apenas de fontes confiáveis.

Se você estiver usando o containerd 1.3 ou posterior, não será afetado por este problema.