← Voltar ao blog

Vulnerabilidades Críticas no containerd Expõem Runtimes de Container a DoS e Execução de Código

Avisos de segurança do Ubuntu revelam cinco vulnerabilidades no containerd afetando tratamento de HTTP/2, validação de imagens e propagação de rótulos. Patches abordam riscos de negação de serviço e execução arbitrária de código em múltiplas versões Ubuntu LTS.

TL;DR

  • Cinco CVEs corrigidas no containerd: loop infinito HTTP/2 (CVE-2026-33814), esgotamento de memória de análise de grupo (CVE-2026-47262), bypass de validação de checkpoint de imagem (CVE-2026-50195), execução de código de propagação de rótulo (CVE-2026-53488) e falha de validação de caminho de symlink
  • CVE-2026-53488 permite que atacantes executem código arbitrário no host explorando propagação imprópria de rótulos de configurações de imagem
  • CVE-2026-50195 habilita envenenamento de cache de imagem local e execução de código entre pods via referências de imagem não validadas durante importação de checkpoint
  • Falha de tratamento de frames SETTINGS HTTP/2 (CVE-2026-33814) pode disparar loops infinitos causando negação de serviço
  • Patches disponíveis em Ubuntu 16.04 LTS até 26.04 LTS com aplicabilidade de CVE variando por versão

O Ubuntu lançou atualizações de segurança abordando cinco vulnerabilidades no containerd, o runtime de container amplamente utilizado. As falhas variam de condições de negação de serviço a execução arbitrária de código, afetando ambientes de orquestração de container em múltiplas versões Ubuntu LTS. Organizações executando cargas de trabalho containerizadas devem priorizar patches para mitigar vetores de ataque locais e remotos.

As vulnerabilidades abrangem tratamento de protocolo HTTP/2, lógica de validação de imagens e processamento de configuração de container. As mais críticas são falhas que permitem execução de código no sistema host e envenenamento de cache de imagem local, que poderiam permitir que atacantes comprometam limites de isolamento de container e executem código malicioso através de limites de pod.

Riscos de Execução de Código e Escalação de Privilégio

  • CVE-2026-53488: Propagação imprópria de rótulos de configurações de imagem para containers permite execução arbitrária de código no host
  • CVE-2026-50195: Referências de imagem não validadas durante importação de checkpoint habilitam envenenamento de cache de imagem local e execução de código em outros pods (afeta Ubuntu 22.04 LTS, 24.04 LTS, 25.10 e 26.04 LTS)
  • Ambas as falhas contornam mecanismos de isolamento de container, permitindo movimento lateral e escalação de privilégio

Vulnerabilidades de Negação de Serviço e Esgotamento de Recursos

  • CVE-2026-33814: Tratamento impróprio de frames SETTINGS HTTP/2 causa containerd entrar em loops infinitos, disparando negação de serviço
  • CVE-2026-47262: Defeito de análise de grupo durante criação de container causa consumo excessivo de memória, levando a esgotamento de recursos e indisponibilidade de serviço
  • Ambos os vetores DoS podem ser explorados para interromper orquestração de container e disponibilidade de aplicação

Versões Afetadas e Disponibilidade de Patch

  • CVE-2026-33814 e CVE-2026-47262 afetam Ubuntu 16.04 LTS até 26.04 LTS
  • CVE-2026-53488 impacta Ubuntu 18.04 LTS, 20.04 LTS, 22.04 LTS, 24.04 LTS e 26.04 LTS
  • CVE-2026-50195 limitado a Ubuntu 22.04 LTS, 24.04 LTS, 25.10 e 26.04 LTS
  • Atualizações de segurança disponíveis via USN-8471-1, USN-8472-1 e USN-8473-1

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

Vulnerabilidades Críticas no containerd Expõem Runtimes de Container a DoS e Execução de Código — Agent Breach Blog | Agent Breach