PT-2021-1402 · Unknown+7 · Containers/Storage+7

Aviv Sasson

·

Publicado

2021-04-01

·

Atualizado

2024-06-15

·

CVE-2021-20291

CVSS v2.0

7.1

Alta

VetorAV:N/AC:M/Au:N/C:N/I:N/A:C
**Nome do software vulnerável e versões afetadas:
github.com/containers/storage versões anteriores à 1.28.1
Descrição:
Ocorre um impasse ao processar uma imagem de contêiner com uma camada de arquivo tar inválida, fazendo com que o código aguarde indefinidamente pelo fluxo descompactado do tar. Isso pode ser explorado por um invasor para criar uma imagem maliciosa, levando a uma Negação de Serviço (DoS) quando baixada e armazenada por um aplicativo que utilize containers/storage.
Recomendações:
Para versões anteriores à 1.28.1, atualize para a versão 1.28.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do módulo github.com/containers/storage até que um patch esteja disponível. Evite usar a função DecompressStream em arquivos não confiáveis para minimizar o risco de exploração.

Exploit

Correção

DoS

Resource Exhaustion

Improper Locking

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400CWE-667

Identificadores relacionados

ALBA-2022:0348
ALSA-2021:4154
ALSA-2021_4154
ALSA-2022:7954
ALSA-2022:7955
ALSA-2022:8008
ALSA-2022_7955
ALSA-2022_8008
ALT-PU-2022-1252
AZL-44580
CESA-2021_4154
CVE-2021-20291
ELSA-2021-4154
ELSA-2022-7954
ELSA-2022-7955
ELSA-2022-8008
GHSA-7QW8-847F-PGGM
GO-2021-0100
MGASA-2023-0213
OPENSUSE-SU-2022:23018-1
OPENSUSE-SU-2022_23018-1
OPENSUSE-SU-2024:11757-1
RHSA-2021:1150
RHSA-2021:4154
RHSA-2021_4154
RHSA-2022:7954
RHSA-2022:7955
RHSA-2022:8008
RHSA-2022_7954
RHSA-2022_7955
RHSA-2022_8008
RLSA-2021:4154
RLSA-2021_4154
SUSE-SU-2022:23018-1
SUSE-SU-2022:3312-1
SUSE-SU-2022_23018-1
SUSE-SU-2022_3312-1

Produtos afetados

Alt Linux
Almalinux
Centos
Debian
Red Hat
Rocky Linux
Suse
Containers/Storage