Tri-Adam

**Nome do software vulnerável e versões afetadas** Versões do syslabs/sif anteriores à 2.8.1 **Descrição** O problema diz respeito à verificação de assinaturas digitais na implementação de referência do Singularity Image Format (SIF). Especificamente, o pacote `github.com/sylabs/sif/v2/pkg/integrity` não verificava se os algoritmos de hash utilizados eram criptograficamente seguros ao verificar assinaturas digitais. Recomenda-se que os usuários atualizem para uma versão em que este problema tenha sido corrigido. Para usuários que não possam atualizar, recomenda-se validar de forma independente se os algoritmos de hash utilizados para os resumos de metadados e o hash da assinatura são criptograficamente seguros. **Recomendações** Para versões anteriores à 2.8.1, atualize para a versão 2.8.1 ou posterior. Como solução alternativa temporária para usuários que não possam atualizar, considere validar de forma independente os algoritmos de hash usados para resumos de metadados e hash de assinatura, a fim de garantir que sejam criptograficamente seguros.

**Nome do software vulnerável e versões afetadas** Singularity, versões 3.7.2 a 3.7.3 **Descrição** O problema está relacionado ao uso incorreto de uma URL padrão no Singularity, fazendo com que os comandos de ação `singularity` (`run`/`shell`/`exec`) recuperem contêineres do endpoint remoto padrão (`cloud.sylabs.io`) em vez do endpoint remoto configurado ao usar uma URI `library://`. Isso poderia permitir que um invasor enviasse um contêiner malicioso para o endpoint remoto padrão, potencialmente executando-o no sistema da vítima. Apenas os comandos de ação contra URIs `library://` são afetados, enquanto outros comandos, como `pull` e `push`, respeitam o endpoint remoto configurado. **Recomendações** Para as versões 3.7.2 e 3.7.3 do Singularity, atualize para a versão 3.7.4 ou posterior do Singularity para resolver o problema. Como solução alternativa temporária, os usuários podem interagir apenas com o endpoint remoto padrão. Como alternativa, as instalações podem configurar uma lista de controle de execução para restringir a execução a contêineres assinados com chaves seguras específicas.

**Nome do software vulnerável e versões afetadas** Sylabs Singularity, versões 3.0 a 3.5 **Descrição** O problema diz respeito à falta de suporte para uma verificação de integridade no Sylabs Singularity. Especificamente, os comandos de assinatura e verificação não assinam os metadados encontrados no cabeçalho global ou nos descritores de objetos de dados de um arquivo SIF. **Recomendações** Para as versões 3.0 a 3.5, considere implementar verificações de integridade adicionais nos arquivos SIF para garantir sua autenticidade e integridade até que uma correção esteja disponível. Como solução alternativa temporária, restrinja o uso de arquivos SIF não verificados para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** SIF versions prior to v1.2.3 **Description** The issue is related to the `github.com/satori/go.uuid` module used as a dependency in SIF, which produces predictable UUID identifiers due to insecure randomness. This could allow a remote attacker to access confidential data. The `siftool new` command and `siftool.New()` function are affected. **Recommendations** For versions prior to v1.2.3, upgrade to version >= v1.2.3 of the `github.com/satori/go.uuid` module to resolve the issue. As a temporary workaround, users passing `CreateInfo` struct should ensure the `ID` field is generated using a version of `github.com/satori/go.uuid` that is not vulnerable to this issue, such as the version obtained by running `go get github.com/satori/go.uuid@75cca531ea763666bc46e531da3b4c3b95f64557`.