PT-2020-15904 · Sylabs+1 · Sylabs Singularity+1
Publicado
2020-09-16
·
Atualizado
2024-06-15
·
CVE-2020-25040
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Sylabs Singularity versões 3.6.2 e anteriores
Descrição
O problema diz respeito a permissões inseguras em diretórios temporários utilizados em operações explícitas e implícitas de compilação de contêineres. Quando um comando do Singularity que resulta em uma operação de compilação de contêiner é executado, é possível que um usuário com acesso ao sistema leia o conteúdo da imagem durante a compilação. Além disso, se a imagem contiver um arquivo ou diretório com permissão de gravação para todos, é possível que um usuário injete conteúdo arbitrário na compilação em execução, o que, em determinadas circunstâncias, pode permitir a execução de código arbitrário durante a compilação e/ou quando o contêiner compilado for executado.
Recomendações
Para as versões 3.6.2 e anteriores do Sylabs Singularity, atualize para a versão 3.6.3 para resolver o problema.
Como solução alternativa temporária, considere definir
TMPDIR para um local acessível apenas ao usuário; no entanto, isso é difícil de aplicar e não é recomendado como medida de mitigação.Correção
Incorrect Permission
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Suse
Sylabs Singularity