CVE-2021-20319

**Nome do software vulnerável e versões afetadas:

versões do coreos-installer anteriores à 0.10.1

Descrição:

Foi detectada uma falha na verificação de assinatura no coreos-installer, permitindo que uma imagem de instalação gzip especialmente criada contorne a verificação de assinatura da imagem. Isso pode levar à instalação de conteúdo não assinado, permitindo que um invasor, capaz de modificar a imagem de instalação original, grave dados arbitrários e obtenha acesso total ao nó que está sendo instalado. A falha afeta instalações que utilizam --image-file, --image-url ou coreos.inst.image url, bem como coreos-installer download --decompress --image-url quando o serviço de hospedagem é comprometido ou um invasor ativo obtém controle da resposta HTTPS.

Recomendações:

Para versões anteriores à 0.10.1, atualize para a versão 0.10.1 do coreos-installer para resolver o problema.

Como solução alternativa temporária, para coreos-installer download, não use as opções -d ou --decompress.

Para coreos-installer install, inspecione manualmente a saída do stderr e, se BAD signature aparecer, não inicialize a partir do disco de destino.