Trudg

**Name of the Vulnerable Software and Affected Versions** scs-library-client versions prior to 1.3.4 and 1.4.2 **Description** The HTTP Authorization header sent by the scs-library-client to the library service may be incorrectly leaked to an S3 backing storage provider when pulling a container image with authentication. This occurs in a specific flow where the library service redirects the client to a backing S3 storage server for a multi-part concurrent download. An attacker with access to the S3 service may be able to extract user credentials, allowing them to impersonate the user. The vulnerable flow is only used when communicating with a Singularity Enterprise 1.x installation or a third-party server implementing this flow. **Recommendations** Update to scs-library-client version 1.3.4 or 1.4.2 to fix the security issue. For users interacting with a Singularity Enterprise 1.x installation using a 3rd party S3 storage service, revoke and recreate authentication tokens within Singularity Enterprise. As a temporary measure, consider avoiding the use of the multi-part concurrent download flow with redirect to S3 until the issue is resolved.

**Nome do software vulnerável e versões afetadas** Sylabs Singularity, versões 3.5.0 a 3.5.3 **Descrição** O problema ocorre quando a opção `--all / -a` é usada com `singularity verify`, pois ela retorna uma mensagem de sucesso mesmo que alguns objetos em um contêiner SIF não estejam assinados ou não possam ser verificados. Esses objetos não verificados são relatados em mensagens de log `WARNING`, mas o comando ainda retorna um código de saída `0` e uma mensagem `Container Verified`. Isso pode levar a fluxos de trabalho executando contêineres SIF com objetos não assinados ou modificados, potencialmente introduzindo comportamentos maliciosos. **Recomendações** Para as versões 3.5.0 a 3.5.3 do Sylabs Singularity, atualize para a versão 3.6.0 para resolver o problema. Observe que a versão 3.6.0 usa um novo formato de assinatura incompatível com versões anteriores. Se não for possível atualizar para a versão 3.6.0, não confie no código de retorno de `singularity verify --all / -a` como um indicador de confiabilidade de um contêiner. Além disso, esteja ciente de que outros problemas na implementação de assinatura/verificação nas versões do Singularity anteriores à 3.6.0 podem permitir a introdução de comportamentos maliciosos em um contêiner assinado.