CVE-2020-13845

Sylabs Singularity, versões 3.0 a 3.5

O problema diz respeito à validação incorreta de um valor de verificação de integridade no Sylabs Singularity. Especificamente, a integridade da imagem não é validada quando uma política da Lista de Controle de Execução (ECL) é aplicada. A impressão digital exigida pela ECL é comparada com o(s) descritor(es) de objeto de assinatura no arquivo SIF, em vez de ser comparada com uma assinatura validada criptograficamente. Isso permite que um usuário mal-intencionado contorne a ECL criando uma carga útil arbitrária que será autorizada a ser executada, mesmo sem acesso à chave privada associada à(s) impressão(ões) digital(is) configurada(s) na ECL.

Para as versões 3.0 a 3.5 do Sylabs Singularity, atualize para a versão 3.6.0 para resolver o problema. Observe que a versão 3.6.0 usa um novo formato de assinatura incompatível com versões anteriores. Para facilitar a transição, a opção legacyinsecure pode ser definida como legacyinsecure = true no arquivo ecl.toml para permitir a verificação de assinaturas legadas mais antigas e inseguras, mas isso deve ser usado apenas temporariamente.