Jdolitsky

**Nome do software vulnerável e versões afetadas: Versões 0.4.0 a 0.9.0 do ORAS Descrição: O problema está relacionado a uma vulnerabilidade do tipo “zip-slip” no recurso de suporte a diretórios do ORAS, que permite que arquivos tar compactados com gzip baixados sejam extraídos automaticamente para um diretório especificado pelo usuário. Esse diretório pode conter links simbólicos e links físicos, permitindo que um arquivo tar bem elaborado crie links, grave ou sobrescreva arquivos específicos no sistema de arquivos do host fora do diretório especificado pelo usuário, com as mesmas permissões do usuário que executa o comando `oras pull`. Os usuários afetados são usuários da CLI `oras` que executam `oras pull` e programas Go que invocam `github.com/deislabs/oras/pkg/content.FileStore`. Recomendações: Para usuários da CLI `oras`, não há solução alternativa além de fazer o pull de um provedor de artefatos confiável. Para usuários do pacote `oras`, a solução alternativa é não usar `github.com/deislabs/oras/pkg/content.FileStore` e usar outros armazenamentos de conteúdo em seu lugar, ou fazer o pull de um provedor de artefatos confiável. Os usuários devem atualizar sua CLI `oras` e seus pacotes para a versão 0.9.0 para resolver o problema.