PT-2020-15903 · Sylabs+1 · Sylabs Singularity+1
Publicado
2020-09-16
·
Atualizado
2024-06-15
·
CVE-2020-25039
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Sylabs Singularity, versões 3.2.0 a 3.6.2
Descrição
O problema diz respeito a permissões inseguras nos diretórios temporários utilizados na execução de contêineres com o comando
fakeroot ou no namespace do usuário. Quando um comando de ação do Singularity é executado com a opção fakeroot ou namespace do usuário, o Singularity extrai uma imagem de contêiner para um diretório temporário de sandbox. Devido às permissões inseguras, qualquer usuário com acesso ao sistema pode ler o conteúdo da imagem. Se a imagem contiver um arquivo ou diretório com permissão de gravação para todos, um usuário pode injetar conteúdo arbitrário no contêiner em execução.Recomendações
Para as versões 3.2.0 a 3.6.2 do Sylabs Singularity, atualize para a versão 3.6.3 para resolver o problema.
Como solução temporária, considere definir
TMPDIR para um local acessível apenas ao usuário, embora isso não seja recomendado como uma medida de mitigação confiável.Correção
Incorrect Permission
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Suse
Sylabs Singularity