CVE-2020-13846

Sylabs Singularity, versões 3.5.0 a 3.5.3

O problema ocorre quando a opção --all / -a é usada com singularity verify, pois ela retorna uma mensagem de sucesso mesmo que alguns objetos em um contêiner SIF não estejam assinados ou não possam ser verificados. Esses objetos não verificados são relatados em mensagens de log WARNING, mas o comando ainda retorna um código de saída 0 e uma mensagem Container Verified. Isso pode levar a fluxos de trabalho executando contêineres SIF com objetos não assinados ou modificados, potencialmente introduzindo comportamentos maliciosos.

Para as versões 3.5.0 a 3.5.3 do Sylabs Singularity, atualize para a versão 3.6.0 para resolver o problema. Observe que a versão 3.6.0 usa um novo formato de assinatura incompatível com versões anteriores. Se não for possível atualizar para a versão 3.6.0, não confie no código de retorno de singularity verify --all / -a como um indicador de confiabilidade de um contêiner. Além disso, esteja ciente de que outros problemas na implementação de assinatura/verificação nas versões do Singularity anteriores à 3.6.0 podem permitir a introdução de comportamentos maliciosos em um contêiner assinado.