CVE-2021-21272

**Nome do software vulnerável e versões afetadas:

Versões 0.4.0 a 0.9.0 do ORAS

Descrição:

O problema está relacionado a uma vulnerabilidade do tipo “zip-slip” no recurso de suporte a diretórios do ORAS, que permite que arquivos tar compactados com gzip baixados sejam extraídos automaticamente para um diretório especificado pelo usuário. Esse diretório pode conter links simbólicos e links físicos, permitindo que um arquivo tar bem elaborado crie links, grave ou sobrescreva arquivos específicos no sistema de arquivos do host fora do diretório especificado pelo usuário, com as mesmas permissões do usuário que executa o comando oras pull. Os usuários afetados são usuários da CLI oras que executam oras pull e programas Go que invocam github.com/deislabs/oras/pkg/content.FileStore.

Recomendações:

Para usuários da CLI oras, não há solução alternativa além de fazer o pull de um provedor de artefatos confiável.

Para usuários do pacote oras, a solução alternativa é não usar github.com/deislabs/oras/pkg/content.FileStore e usar outros armazenamentos de conteúdo em seu lugar, ou fazer o pull de um provedor de artefatos confiável.

Os usuários devem atualizar sua CLI oras e seus pacotes para a versão 0.9.0 para resolver o problema.