Stamparm

**Nome do Software Vulnerável e Versões Afetadas** Incus versões anteriores a 7.0.0 **Descrição** Usuários autenticados podem causar uma negação de serviço ao fazer o upload de grandes quantidades de dados, o que pode esgotar o espaço em disco do servidor Incus e potencialmente derrubar o sistema host. Isso ocorre porque múltiplos caminhos de importação binária aceitam requisições `application/octet-stream` e transmitem o corpo da requisição HTTP diretamente para arquivos temporários no host sem um limite de tamanho de requisição. O daemon utiliza operações `io.Copy` diretas para gravar fluxos controlados por um atacante no armazenamento do host antes que qualquer validação ou análise seja realizada. Este problema afeta os seguintes fluxos: - Importação de backup de instância através do endpoint '/1.0/instances' - Importação de bucket de armazenamento - Importação de volume de armazenamento (incluindo uploads de ISO) O impacto é reduzido para usuários que utilizam `storage.images volume` e `storage.backups volume`, pois os uploads são armazenados nesses volumes específicos em vez do sistema de arquivos do host, que é a configuração padrão no IncusOS. **Recomendações** Atualize para a versão 7.0.0.

**Nome do Software Vulnerável e Versões Afetadas** Incus (versões afetadas não especificadas) **Descrição** Existe uma desreferência de ponteiro nulo (nil-pointer dereference) no subsistema de importação de backup de volume personalizado. Um usuário autenticado com acesso ao recurso de volume de armazenamento pode causar a falha do daemon do Incus ao importar um arquivo de backup manipulado. O problema ocorre porque o daemon itera sobre a fatia `VolumeSnapshots` em `srcBackup.Config` e desreferencia elementos sem validar se eles foram inicializados. Um invasor pode fornecer um arquivo `index.yaml` contendo elementos de matriz nulos explícitos no array `volume snapshots`, que o desmarshalizador YAML converte em ponteiros nulos. Isso desencadeia uma falha na função `CreateCustomVolumeFromBackup()`, resultando em negação de serviço no nó. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Incus versões anteriores a 7.0.0 **Descrição** A ausência de lógica de validação na lógica de importação de volumes de armazenamento permite que um usuário autenticado com acesso ao recurso de volume de armazenamento cause a falha do daemon Incus. O subsistema de restauração de backup e o caminho de migração contêm um pânico de limite excedido (out-of-bounds panic) causado por uma verificação de limite inválida ao indexar arrays de metadados de snapshot. Especificamente, ao iterar por snapshots físicos em um arquivo de backup, o loop usa um índice para procurar metadados nas fatias `Config.Snapshots` e `Config.VolumeSnapshots`. A condição de guarda `len(slice) >= i-1` está incorreta, permitindo que o acesso subsequente `slice[i]` esteja fora dos limites, o que dispara um pânico de tempo de execução. Um invasor pode explorar isso enviando um arquivo de backup que contenha diretórios de snapshot físicos, fornecendo um arquivo `index.yaml` adulterado com um array de metadados de snapshot vazio ou truncado. Isso faz com que o daemon indexe além do final da fatia de metadados e trave, resultando em uma negação de serviço. **Recomendações** Atualize para a versão 7.0.0.

**Nome do Software Vulnerável e Versões Afetadas** Incus versões anteriores a 7.0.0 **Descrição** Uma lógica de validação TLS quebrada na lógica de conexão do banco de dados OVN permite conexões com um banco de dados OVN de um invasor. As implementações do cliente OVN desativam a verificação padrão de servidor TLS do Go e utilizam uma lógica de verificação de certificado de peer personalizada que não ancora a confiança no certificado CA configurado. Em vez disso, o sistema constrói o conjunto de raízes de verificação a partir de certificados fornecidos pelo peer durante o handshake, fazendo com que o CA configurado seja analisado, mas ignorado para a decisão final de verificação. Em implantações habilitadas para OVN que utilizam esses caminhos de conexão de banco de dados SSL, um invasor capaz de personificar ou interceptar o endpoint OVN na rede de gerenciamento pode apresentar uma cadeia de certificados autoassinados maliciosos, que o Incus aceitará como válidos. Isso afeta conexões autenticadas com os bancos de dados northbound e southbound do OVN, que servem como interfaces autoritativas do plano de controle para configuração e distribuição de rede lógica. Esta falha no modelo de confiança baseado em CA permite a personificação do endpoint por um invasor ativo em uma posição de rede adequada. **Recomendações** Atualizar para a versão 7.0.0.

**Nome do Software Vulnerável e Versões Afetadas** Incus versões anteriores a 7.0.0 **Descrição** A falta de lógica de validação no processo de importação de buckets de armazenamento permite que um usuário autenticado com acesso ao recurso de bucket de armazenamento cause a falha do daemon Incus. O problema ocorre na lógica de manipulação de metadados de backup quando o daemon processa o arquivo `index.yaml` de um arquivo importado. Especificamente, o daemon acessa membros da configuração de backup analisada sem verificar se o objeto de configuração foi inicializado. Um arquivo `index.yaml` malformado que omite o bloco de configuração dispara uma desreferência de ponteiro nulo (nil-pointer dereference)—um erro de tempo de execução em Go que ocorre ao tentar acessar a memória por meio de um ponteiro que não aponta para um objeto válido—dentro da função `CreateBucketFromBackup()`. Isso resulta na falha do daemon e pode ser explorado repetidamente para causar uma negação de serviço, mantendo o Incus offline. **Recomendações** Atualize para a versão 7.0.0.

**Nome do Software Vulnerável e Versões Afetadas** Incus versões anteriores a 7.0.0 **Description** Um usuário autenticado pode forçar o daemon a fazer requisições HEAD externas cegas para destinos arbitrários. Isso ocorre porque o fluxo de importação de imagem emite uma requisição para uma URL fornecida pelo usuário através da função `imgPostURLInfo()` antes de validar a requisição em relação às restrições do projeto, como `restricted.images.servers`. Isso cria um primitivo de server-side request forgery (SSRF) cego — uma técnica onde um invasor força um servidor a enviar requisições para um local não pretendido — que pode ser usado para sondar serviços internos, espaços de endereços não roteáveis ou endpoints de metadados de nuvem acessíveis a partir do host. Além disso, essas requisições incluem cabeçalhos personalizados (`Incus-Server-Architectures` e `Incus-Server-Version`) que revelam informações do ambiente do host para o endpoint controlado pelo invasor. **Recommendations** Atualizar para a versão 7.0.0. Como medida paliativa temporária, restrinja o acesso à funcionalidade de importação de imagens para usuários autenticados não confiáveis para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Incus versions prior to 6.23.0 **Description** Incus, a system container and virtual machine manager, contains a flaw where a specially crafted storage bucket backup can be used by a user with access to the storage bucket feature to crash the Incus daemon. Repeated exploitation of this issue can lead to a denial of service of the control plane API. This does not affect running containers or virtual machines. The issue is due to an unchecked string slicing vulnerability in the S3 transfer manager, specifically during S3 restore operations. The code fails to validate header names before slicing strings, and a malicious archive containing a header name shorter than expected can trigger a slice-bounds panic, terminating the daemon. The vulnerable code is located in the `UploadAllFiles` function within the `internal/server/storage/s3/transfer manager.go` file. **Recommendations** Update Incus to version 6.23.0 or later.

**Name of the Vulnerable Software and Affected Versions** Incus versions prior to 6.23.0 **Description** Incus, a system container and virtual machine manager, has an issue in its API for retrieving VM screenshots. This API uses a temporary file for QEMU to write the screenshot to, which is then sent to the user. Versions prior to 6.23.0 use predictable paths under /tmp for these temporary files. An attacker with local access can exploit this by creating symlinks. On most Linux systems with the `protected symlinks` kernel security feature enabled, this results in a "Permission denied" error. However, on systems where this feature is disabled, an attacker can trick Incus into truncating and altering the mode and permissions of arbitrary files on the filesystem, potentially leading to a denial of service or local privilege escalation. The vulnerable code is located in the `instanceConsoleGet` function within `cmd/incusd/instance console.go` and the `ConsoleScreenshot` function within `internal/server/instance/drivers/driver qemu.go`. A proof-of-concept (PoC) demonstrates that an attacker can pre-place symlink traps and coerce the Incus daemon into truncating and changing the ownership of a sensitive host file. The `/proc/sys/fs/protected symlinks` file can be checked to determine if the kernel protection mechanism is disabled, with a value of 0 indicating it is disabled. **Recommendations** Versions prior to 6.23.0 should be updated to version 6.23.0 or later.

**Name of the Vulnerable Software and Affected Versions** Incus versions prior to 6.23.0 **Description** Incus is a system container and virtual machine manager. Incus instances allow providing credentials to systemd within the guest environment, managed through a shared directory for containers. Prior to version 6.23.0, an attacker could manipulate a configuration key, such as `systemd.credential.../../../../../../root/.bashrc`, to induce Incus to write files outside the designated `credentials` directory. This is possible because the Incus syntax for credentials, `systemd.credential.XYZ`, permits multiple periods within the `XYZ` component. While reading data is not possible through this method, writing to arbitrary files as root is achievable, potentially leading to privilege escalation and denial of service attacks. The vulnerability leverages the ability to traverse directory structures using specially crafted credential names. **Recommendations** Versions prior to 6.23.0 should be updated to version 6.23.0 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Conda Constructor anteriores à 3.11.3 **Descrição** A questão envolve o Conda Constructor, uma ferramenta para criar instaladores para pacotes conda. Em versões anteriores à 3.11.3, os scripts do instalador shell processam o prefixo de instalação utilizando um comando eval, que executa entradas de usuário não sanitizadas como código shell. Isso permite que um atacante injete comandos arbitrários através de um caminho malicioso durante a instalação, embora isso requira uma ação explícita do usuário. O script é executado com privilégios de usuário, e não de root. **Recomendações** Para versões anteriores à 3.11.3, atualize para a versão 3.11.3 para resolver a questão. Como medida paliativa temporária, considere evitar o uso dos scripts do instalador shell até que a atualização seja aplicada.

**Name of the Vulnerable Software and Affected Versions** Conda-build versions prior to 25.4.0 **Description** The issue is related to path traversal attacks due to improper sanitization of tar entry paths in the conda-build processing logic. This could allow attackers to craft tar archives that write files outside the intended extraction directory, potentially leading to arbitrary file overwrites, privilege escalation, or code execution if sensitive locations are targeted. **Recommendations** For versions prior to 25.4.0, update to version 25.4.0 to resolve the issue. As a temporary workaround, consider restricting the use of conda-build to minimize the risk of exploitation. Avoid using conda-build to extract tar archives from untrusted sources until the issue is resolved.

**Nome do Software Vulnerável e Versões Afetadas** Versões do conda-build anteriores à 25.4.0 **Descrição** A lógica de processamento de receitas do conda-build é vulnerável à execução arbitrária de código devido à avaliação insegura de seletores de receita. Isso ocorre porque o conda-build utiliza a função eval para processar seletores incorporados em arquivos meta.yaml sem a devida sanitização, permitindo que código arbitrário seja executado durante o processo de build. Isso compromete a integridade do ambiente de build e pode permitir que comandos não autorizados ou operações de arquivo sejam realizadas. O problema origina-se do risco de usar eval() em entrada não confiável em um contexto destinado a controlar configurações dinâmicas de build. **Recomendações** Para versões anteriores à 25.4.0, atualize para a versão 25.4.0 para resolver o problema. Como solução temporária, considere desativar o uso de eval() para o processamento de receitas ou restringir a execução de expressões definidas pelo usuário em arquivos meta.yaml até que um patch seja aplicado. Evite usar a função eval para entrada não confiável no processo de build.

**Name of the Vulnerable Software and Affected Versions** conda-build versions prior to 25.3.1 **Description** The issue in conda-build allows attackers with filesystem access to exploit a race condition and overwrite a temporary build script, potentially leading to arbitrary code execution under the victim's privileges. This risk is significant in shared environments and could result in full system compromise. Attackers can monitor parent directories for file creation events, infer directory names via timestamps or logs, and use automation to exploit the issue rapidly. **Recommendations** For versions prior to 25.3.1, consider updating to version 25.3.1 to resolve the issue. As a temporary workaround, restrict conda build.sh permissions from 0o766 to 0o700 (owner-only read/write/execute). Use atomic file creation (write to a temporary randomized filename and rename atomically) to minimize the race condition window.

**Nome do Software Vulnerável e Versões Afetadas** Versões do conda-forge-ci-setup anteriores a 4.15.0 **Descrição** O script de configuração do conda-forge-ci-setup-feedstock é vulnerável devido ao uso inseguro da função `eval` ao analisar informações de versão de um arquivo `meta.yaml` com formato personalizado. Um atacante que controle o `meta.yaml` pode injetar código malicioso na atribuição de versão, que é executado durante o processamento do arquivo, levando à execução arbitrária de código. A exploração requer que um atacante modifique o arquivo de receita manipulando a variável `RECIPE DIR` e introduzindo um arquivo `meta.yaml` malicioso. Embora isso seja mais viável em pipelines de CI/CD, é incomum em ambientes típicos, reduzindo o risco geral. **Recomendações** Para versões anteriores a 4.15.0, atualize para a versão 4.15.0 para corrigir a vulnerabilidade. Como medida de contorno temporária, considere restringir o acesso ao arquivo `meta.yaml` e à variável `RECIPE DIR` para minimizar o risco de exploração. Evite usar a função `eval` ao analisar informações de versão de arquivos com formato personalizado até que o problema seja resolvido.

Nome do software vulnerável e versões afetadas: Versões do OpenTelemetry Collector anteriores à 0.102.1 Versões do módulo confighttp anteriores à 0.102.0 Versões do módulo configgrpc anteriores à 0.102.1 Descrição: Uma vulnerabilidade de descompressão insegura permite que invasores não autenticados causem a falha do coletor por meio do consumo excessivo de memória. O OpenTelemetry Collector lida com solicitações HTTP compactadas reconhecendo o cabeçalho Content-Encoding, reescrevendo o corpo da solicitação HTTP e permitindo que manipuladores subsequentes processem os dados descompactados. Um invasor mal-intencionado poderia explorar essa vulnerabilidade para travar o coletor enviando uma pequena solicitação que, quando descompactada pelo servidor, resulta em consumo excessivo de memória. O problema foi confirmado por meio de testes de prova de conceito, nos quais todos os algoritmos de compactação suportados puderam ser explorados, sendo que o zstd causou o impacto mais significativo. Recomendações: Para versões do OpenTelemetry Collector anteriores à 0.102.1, atualize para a versão 0.102.1 ou posterior. Para versões do módulo confighttp anteriores à 0.102.0, atualize para a versão 0.102.0 ou posterior. Para versões do módulo configgrpc anteriores à 0.102.1, atualize para a versão 0.102.1 ou posterior. Como solução alternativa temporária, considere desativar totalmente o suporte à descompressão de solicitações HTTP do cliente ou limitar o tamanho dos dados descomprimidos que podem ser processados. A limitação do tamanho dos dados descomprimidos pode ser obtida envolvendo o leitor de dados descomprimidos dentro de um io.LimitedReader, que restringe a leitura a um número especificado de