CVE-2022-2990

Versões do Buildah anteriores à 20.10.18

Versões do CRI-O anteriores à 20.10.18

Versões do Docker anteriores à 20.10.18

Versões do Moby (Docker Engine) anteriores à 20.10.18

Versões do Podman anteriores à 20.10.18

O problema decorre de um tratamento incorreto de grupos suplementares em vários motores de contêineres, incluindo Buildah, CRI-O, Docker, Moby e Podman. Isso pode levar à divulgação de informações confidenciais ou à possível modificação de dados se um invasor tiver acesso direto ao contêiner afetado e for capaz de executar código binário dentro dele. O problema ocorre quando os grupos suplementares não são configurados corretamente, permitindo que invasores contornem as restrições do grupo primário em alguns casos e potencialmente elevem privilégios dentro do contêiner. Por exemplo, programas SGID executados em um contêiner podem acessar arquivos com permissões de grupo negativas para o grupo primário do usuário, devido à falha do mecanismo de contêiner em adicionar corretamente o grupo primário aos grupos suplementares.

Para versões do Buildah anteriores à 20.10.18: atualize para a versão 20.10.18 ou posterior.

Para versões do CRI-O anteriores à 20.10.18: atualize para a versão 20.10.18 ou posterior.

Para versões do Docker anteriores à 20.10.18: atualize para a versão 20.10.18 ou posterior e considere parar e reiniciar os contêineres em execução para que as permissões sejam corrigidas. Como solução alternativa temporária, evite usar a instrução “USER $USERNAME” no Dockerfile; em vez disso, use ENTRYPOINT [‘su’, “-”, “user”] para definir