CVE-2022-24778

Versões do imgcrypt anteriores à 1.1.4

A biblioteca imgcrypt fornece extensões de API para o containerd, a fim de oferecer suporte a imagens de contêiner criptografadas, e implementa a ferramenta de linha de comando ctd-decoder para uso pelo containerd na descriptografia de imagens de contêiner criptografadas. A função CheckAuthorization do imgcrypt deve verificar se o usuário atual está autorizado a acessar uma imagem criptografada e impedir que o usuário execute uma imagem que outro usuário tenha descriptografado anteriormente no mesmo sistema. Nas versões anteriores à 1.1.4, ocorre uma falha quando uma imagem com uma ManifestList é usada e a arquitetura do host local não é a primeira na ManifestList. Essa decisão de permitir a execução da imagem permitia que outras arquiteturas na ManifestList executassem uma imagem sem fornecer chaves, caso essa imagem já tivesse sido descriptografada anteriormente.

Para versões do imgcrypt anteriores à 1.1.4, atualize para a versão 1.1.4 ou posterior para aplicar o patch.

Como solução alternativa temporária, considere usar namespaces diferentes para cada usuário remoto a fim de minimizar o risco de exploração.