CVE-2020-15257

**Nome do software vulnerável e versões afetadas:

versões do containerd anteriores à 1.3.9 e à 1.4.3

Descrição:

O problema está relacionado à exposição indevida da API do containerd-shim aos contêineres de rede do host. Os controles de acesso ao soquete da API do shim verificavam se o processo de conexão possuía um UID efetivo igual a 0, mas não restringiam de outra forma o acesso ao soquete de domínio Unix abstrato. Isso permitiria que contêineres maliciosos em execução no mesmo namespace de rede que o shim, com um UID efetivo de 0, mas com privilégios reduzidos, fizessem com que novos processos fossem executados com privilégios elevados.

Recomendações:

Para resolver o problema nas versões anteriores à 1.3.9, atualize para a versão 1.3.9 ou posterior.

Para resolver o problema em versões anteriores à 1.4.3, atualize para a versão 1.4.3 ou posterior.

Como solução alternativa temporária, considere negar o acesso a todos os sockets abstratos com o AppArmor, adicionando uma linha semelhante a deny unix addr=@** à sua política.

Restrinja o acesso à API containerd-shim vulnerável executando contêineres com um conjunto reduzido de privilégios, com um UID diferente de zero e com namespaces isolados.

Interrompa e reinicie os contêineres iniciados com uma versão antiga do containerd-shim após a atualização, pois os contêineres em execução continuarão vulneráveis mesmo após a atualização.