CVE-2022-2989

Moby (Docker Engine) versões anteriores à 20.10.18

Podman (versões afetadas não especificadas)

CRI-O (versões afetadas não especificadas)

Buildah (versões afetadas não especificadas)

Docker (versões afetadas não especificadas)

Um tratamento incorreto de grupos suplementares em motores de contêineres pode levar à divulgação de informações confidenciais ou à possível modificação de dados se um invasor tiver acesso direto ao contêiner afetado e for capaz de executar código binário. Essa vulnerabilidade pode permitir que invasores contornem restrições de grupos primários, potencialmente obtendo acesso a informações confidenciais ou a capacidade de executar código no contêiner. O problema ocorre quando os grupos suplementares não são configurados corretamente, permitindo acesso não autorizado a arquivos.

Para versões do Moby (Docker Engine) anteriores à 20.10.18, atualize para a versão 20.10.18 ou posterior.

Para usuários que não possam atualizar para a versão 20.10.18 ou posterior do Moby (Docker Engine), não use a instrução “USER $USERNAME” no Dockerfile; em vez disso, chame ENTRYPOINT [‘su’, “-”, “user”] para configurar os grupos suplementares corretamente.

Como solução alternativa temporária para outros motores de contêineres afetados, considere restringir o acesso a contêineres nos quais grupos suplementares são usados para definir permissões de acesso até que um patch esteja disponível.

Para contêineres nos quais programas SGID são executados, considere desativar a execução desses programas até que o problema seja resolvido.