CVE-2023-25173

Versões do containerd anteriores à 1.6.18 e à 1.5.18

Versões do Moby (Docker Engine) anteriores à 20.10.18

CRI-O (versões afetadas não especificadas)

Buildah (versões afetadas não especificadas)

Podman (versões afetadas não especificadas)

Foi encontrado um bug no containerd, Moby (Docker Engine), CRI-O, Buildah e Podman, no qual grupos suplementares não são configurados corretamente dentro de um contêiner. Se um invasor tiver acesso direto a um contêiner e manipular o acesso ao grupo suplementar, ele poderá, em alguns casos, usar esse acesso para contornar as restrições do grupo primário, potencialmente obtendo acesso a informações confidenciais ou a capacidade de executar código nesse contêiner. Aplicativos downstream que utilizam a biblioteca cliente do containerd também podem ser afetados.

Para versões do containerd anteriores à 1.6.18 e 1.5.18: atualize para as versões 1.6.18 e 1.5.18 e recrie os contêineres para resolver este problema.

Para versões do Moby (Docker Engine) anteriores à 20.10.18: atualize para a versão 20.10.18 quando estiver disponível e pare e reinicie os contêineres em execução para que as permissões sejam corrigidas.

Para CRI-O, Buildah e Podman: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Como solução alternativa temporária para todas as versões afetadas, certifique-se de que a instrução “USER $USERNAME” do Dockerfile não seja usada. Em vez disso, defina o ponto de entrada do contêiner para um valor semelhante a `ENTRYP