CVE-2021-43816

Versões do containerd de 1.5.0-beta.0 a 1.5.8

O problema afeta instalações que utilizam o SELinux, como EL8 (CentOS, RHEL), Fedora ou SUSE MicroOS, com o containerd como interface de tempo de execução do contêiner (CRI). Um pod sem privilégios agendado para o nó pode realizar uma montagem vinculada, por meio do volume hostPath, de qualquer arquivo regular com privilégios no disco para obter acesso completo de leitura/gravação. Isso é feito colocando o local dentro do contêiner da montagem do volume hostPath em /etc/hosts, /etc/hostname ou /etc/resolv.conf. Esses locais estão sendo renomeados indiscriminadamente para corresponder ao rótulo do processo do contêiner, o que efetivamente eleva as permissões para contêineres experientes que normalmente não teriam acesso a arquivos privilegiados do host.

Para as versões do containerd 1.5.0-beta.0 a 1.5.8, atualize para a versão 1.5.9 o mais rápido possível.

Como solução alternativa temporária, certifique-se de que nenhum arquivo ou diretório confidencial seja usado como local de origem do volume hostPath.

Considere implementar mecanismos de aplicação de políticas, como a Política de Segurança de Pod do Kubernetes, para limitar os arquivos e diretórios que podem ser montados por ligação em contêineres.