CVE-2021-29136

**Nome do software vulnerável e versões afetadas:

Versões do Open Container Initiative umoci anteriores à 0.4.7

Descrição:

A vulnerabilidade permite que invasores sobrescrevam caminhos de host arbitrários por meio de uma imagem manipulada que provoca o traversal de links simbólicos quando os comandos “umoci unpack” ou “umoci raw unpack” são executados. Isso se deve a uma validação inadequada de entradas no umoci. A vulnerabilidade pode ser explorada criando-se uma camada maliciosa com um link simbólico, o que pode induzir o umoci a modificar arquivos do host. Isso afeta tanto o comando “umoci unpack” quanto o “umoci raw unpack”.

Recomendações:

Para versões anteriores à 0.4.7, atualize para a versão 0.4.7 ou posterior para resolver o problema.

Como solução temporária, considere executar o umoci sob um perfil LSM, como AppArmor ou SELinux, para restringir o nível de acesso que ele tem fora dos diretórios de imagens de contêiner.

Se estiver usando o umoci como um usuário sem privilégios com o sinalizador --rootless, o umoci não poderá sobrescrever nenhum arquivo ao qual o usuário não tenha acesso, o que pode servir como uma medida de mitigação.