Raballew

**Nome do software vulnerável e versões afetadas: versões do coreos-installer anteriores à 0.10.1 Descrição: Foi detectada uma falha na verificação de assinatura no coreos-installer, permitindo que uma imagem de instalação gzip especialmente criada contorne a verificação de assinatura da imagem. Isso pode levar à instalação de conteúdo não assinado, permitindo que um invasor, capaz de modificar a imagem de instalação original, grave dados arbitrários e obtenha acesso total ao nó que está sendo instalado. A falha afeta instalações que utilizam `--image-file`, `--image-url` ou `coreos.inst.image url`, bem como `coreos-installer download --decompress --image-url` quando o serviço de hospedagem é comprometido ou um invasor ativo obtém controle da resposta HTTPS. Recomendações: Para versões anteriores à 0.10.1, atualize para a versão 0.10.1 do coreos-installer para resolver o problema. Como solução alternativa temporária, para `coreos-installer download`, não use as opções `-d` ou `--decompress`. Para `coreos-installer install`, inspecione manualmente a saída do stderr e, se `BAD signature` aparecer, não inicialize a partir do disco de destino.