CVE-2021-32635

Singularity, versões 3.7.2 a 3.7.3

O problema está relacionado ao uso incorreto de uma URL padrão no Singularity, fazendo com que os comandos de ação singularity (run/shell/exec) recuperem contêineres do endpoint remoto padrão (cloud.sylabs.io) em vez do endpoint remoto configurado ao usar uma URI library://. Isso poderia permitir que um invasor enviasse um contêiner malicioso para o endpoint remoto padrão, potencialmente executando-o no sistema da vítima. Apenas os comandos de ação contra URIs library:// são afetados, enquanto outros comandos, como pull e push, respeitam o endpoint remoto configurado.

Para as versões 3.7.2 e 3.7.3 do Singularity, atualize para a versão 3.7.4 ou posterior do Singularity para resolver o problema.

Como solução alternativa temporária, os usuários podem interagir apenas com o endpoint remoto padrão.

Como alternativa, as instalações podem configurar uma lista de controle de execução para restringir a execução a contêineres assinados com chaves seguras específicas.