CVE-2024-8676

Nome do software vulnerável e versões afetadas:

Versões do CRI-O anteriores à 1.29.11

Versões do CRI-O de 1.30.0 a 1.30.8

Versões do CRI-O de 1.31.0 a 1.31.3

Descrição:

Foi encontrada uma vulnerabilidade no CRI-O, na qual é possível solicitar a criação de um arquivo de ponto de verificação de um contêiner e, posteriormente, solicitar sua restauração. Ao realizar essa restauração, o sistema tenta restaurar as montagens a partir do arquivo de restauração, em vez de seguir a solicitação do pod. Como resultado, as validações executadas na especificação do pod, que verificam se o pod tem acesso às montagens especificadas, não se aplicam a um contêiner restaurado. Essa falha permite que um usuário mal-intencionado induza o CRI-O a restaurar um pod que não tem acesso às montagens do host. O usuário precisa de acesso ao kubelet ou ao soquete cri-o para chamar o endpoint de restauração e acionar a restauração.

Recomendações:

Para versões do CRI-O anteriores à 1.29.11, atualize para a versão 1.29.11 ou posterior.

Para as versões do CRI-O de 1.30.0 a 1.30.8, atualize para a versão 1.30.8 ou posterior.

Para as versões do CRI-O de 1.31.0 a 1.31.3, atualize para a versão 1.31.3 ou posterior.

Como solução alternativa temporária, considere definir enable criu support como false para minimizar o risco de exploração.