CVE-2022-27652

Versões do cri-o anteriores à v1.24.0

Foi identificada uma falha no cri-o em que os contêineres eram iniciados incorretamente com permissões padrão não vazias, permitindo que um invasor com acesso a programas com capacidades de arquivo herdáveis elevasse essas capacidades ao conjunto permitido quando a função execve(2) fosse executada. Esse bug cria um ambiente Linux atípico, permitindo que programas com capacidades de arquivo herdáveis elevem essas capacidades até o conjunto de limites do contêiner. Os contêineres que utilizam usuários e grupos do Linux para realizar a separação de privilégios dentro do contêiner são os mais diretamente afetados.

Para versões anteriores à v1.24.0, atualize para a versão v1.24.0 ou posterior o mais rápido possível. Após a atualização, pare, exclua e recrie os contêineres em execução para redefinir os recursos herdáveis. Como solução alternativa temporária, considere modificar o ponto de entrada de um contêiner para usar um utilitário como o capsh(1) para remover os recursos herdáveis antes do início do processo principal.