PT-2022-18547 · Docker+5 · Moby+5

Andrew Morgan

·

Publicado

2022-03-24

·

Atualizado

2024-06-15

·

CVE-2022-27650

CVSS v3.1

8.0

Alta

VetorAV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Moby (Docker Engine) (versões afetadas não especificadas)
crun (versões afetadas não especificadas)
Descrição
Foi identificada uma falha no crun e no Moby (Docker Engine) em que os contêineres eram iniciados incorretamente com capacidades de processo Linux herdáveis não vazias. Essa vulnerabilidade permite que um invasor com acesso a programas com capacidades de arquivo herdáveis eleve essas capacidades ao conjunto permitido quando execve(2) é executado.
Recomendações
Para o Moby (Docker Engine), no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Para o crun, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Incorrect Default Permissions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-276

Identificadores relacionados

ALSA-2022:1762
ALSA-2022:1793
ALT-PU-2022-1571
ALT-PU-2023-1487
CESA-2022_1762
CESA-2022_1793
CVE-2022-27650
GHSA-WR4F-W546-M398
MGASA-2022-0141
OPENSUSE-SU-2024:11989-1
RHSA-2022:1762
RHSA-2022:1793
RHSA-2022_1762
RHSA-2022_1793
RLSA-2022:1762
RLSA-2022:1793

Produtos afetados

Alt Linux
Almalinux
Centos
Moby
Red Hat
Rocky Linux