CVE-2022-24769

Versões do Moby (Docker Engine) anteriores à 20.10.14

Foi encontrado um bug no Moby (Docker Engine) em que os contêineres eram iniciados incorretamente com capacidades de processo Linux herdáveis não vazias, criando um ambiente Linux atípico e permitindo que programas com capacidades de arquivo herdáveis elevassem essas capacidades ao conjunto permitido durante execve(2). Contêineres que incluíam programas executáveis com capacidades de arquivo herdáveis permitiam que usuários e processos, que de outra forma não teriam privilégios, ganhassem adicionalmente essas capacidades de arquivo herdáveis até o conjunto de limites do contêiner. Os contêineres que utilizam usuários e grupos Linux para realizar a separação de privilégios dentro do contêiner são os mais diretamente afetados. Esse bug não afetou a sandbox de segurança do contêiner, pois o conjunto herdável nunca continha mais capacidades do que as incluídas no conjunto de limites do contêiner.

Para resolver o problema, atualize para a versão 20.10.14 ou posterior do Moby (Docker Engine).

Para versões anteriores à 20.10.14, pare, exclua e recrie os contêineres em execução para redefinir os recursos herdáveis.

Como solução alternativa temporária, considere modificar o ponto de entrada de um contêiner para usar um utilitário como capsh(1) para remover os recursos herdáveis antes do início do processo principal.