CVE-2024-1753

Versões do Buildah anteriores à versão corrigida

Versões do Podman anteriores à versão corrigida

Foi encontrada uma falha no Buildah e no Podman que permite que contêineres montem locais arbitrários do sistema de arquivos do host em contêineres de compilação. Um arquivo Containerfile malicioso pode usar uma imagem fictícia com um link simbólico para o sistema de arquivos do host como fonte de montagem e fazer com que a operação de montagem monte o sistema de arquivos do host durante uma etapa RUN na hora da compilação. Os comandos dentro da etapa RUN terão então acesso de leitura e gravação ao sistema de arquivos do host, permitindo a fuga total do contêiner durante a compilação. Usuários que executam contêineres com privilégios de root são afetados, permitindo que um contêiner seja executado com acesso de leitura/gravação aos arquivos do sistema do host quando o selinux não está habilitado. Com o selinux habilitado, algum acesso de leitura é permitido.

Para resolver o problema, aplique o patch ao Buildah, que será então incorporado ao Podman. Certifique-se de que os controles do selinux estejam em vigor para evitar comprometer arquivos e sistemas confidenciais. Com “setenforce 0” definido, o sistema de arquivos raiz fica aberto para modificação com essa exploração. Com “setenforce 1” definido, os arquivos não podem ser alterados, mas o conteúdo do diretório / pode ser exibido. Como solução alternativa temporária, considere desativar a função build no Podman e no Buildah até que um patch esteja disponível. Restrinja o acesso ao comando build para minimizar o risco de exploração. Evite usar a opção --mount=type=bind no t