PT-2021-21101 · Buildah+7 · Buildah+7

Nalind

·

Publicado

2020-12-08

·

Atualizado

2024-06-15

·

CVE-2021-3602

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
**Nome do software vulnerável e versões afetadas:
Versões do Buildah anteriores à 1.21.3
Descrição:
Foi encontrada uma falha de divulgação de informações no Buildah ao criar contêineres usando isolamento chroot. Processos em execução em compilações de contêineres, como comandos RUN do Dockerfile, podem acessar variáveis de ambiente de processos pai e avô. Em um ambiente de CI/CD, essas variáveis de ambiente podem incluir informações confidenciais, como credenciais de registro de contêineres, que foram compartilhadas com o contêiner para serem usadas apenas pelo próprio Buildah.
Recomendações:
Para versões anteriores à 1.21.3, atualize os pacotes ou imagens para incluir a versão 1.21.3 ou posterior.
Como solução alternativa temporária, considere invocar buildah em um contêiner sob env -i para que ele seja iniciado com um ambiente reinicializado, o que deve impedir o vazamento.

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-212

Identificadores relacionados

ALSA-2021:4154
ALSA-2021:4221
ALSA-2021:4222
ALT-PU-2020-3461
ALT-PU-2021-1817
ALT-PU-2021-2715
ALT-PU-2021-3548
ALT-PU-2022-1246
ALT-PU-2022-1252
AZL-39837
AZL-44154
CESA-2021_4154
CESA-2021_4221
CESA-2021_4222
CVE-2021-3602
GHSA-7638-R9R3-RMJJ
GO-2022-0345
MGASA-2023-0213
OPENSUSE-SU-2022:23018-1
OPENSUSE-SU-2022_23018-1
OPENSUSE-SU-2024:11757-1
RHSA-2021:4154
RHSA-2021:4221
RHSA-2021:4222
RHSA-2021_4154
RHSA-2021_4221
RHSA-2021_4222
RLSA-2021:4154
RLSA-2021:4221
RLSA-2021:4222
SUSE-SU-2022:23018-1
SUSE-SU-2022:3312-1

Produtos afetados

Alt Linux
Almalinux
Buildah
Centos
Debian
Red Hat
Rocky Linux
Suse