PT-2021-7848 · Unknown+7 · Oci Distribution Specification+7
Jonjohnsonjr
·
Publicado
2021-11-17
·
Atualizado
2025-10-11
·
CVE-2021-41190
CVSS v3.1
5.0
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Especificação de Distribuição OCI, versões 1.0.0 e anteriores
Descrição
O problema diz respeito à Especificação de Distribuição OCI, que define um protocolo de API para distribuição de conteúdo. Nas versões 1.0.0 e anteriores, apenas o cabeçalho Content-Type era utilizado para determinar o tipo de documento durante operações de envio (push) e recebimento (pull). Isso poderia levar a interpretações ambíguas de documentos contendo campos
manifests e layers ou manifests e config, especialmente se o cabeçalho Content-Type fosse alterado entre pulls do mesmo digest. A especificação foi atualizada para exigir que os valores de mediaType e os cabeçalhos Content-Type sejam correspondentes. Os clientes podem desconsiderar o cabeçalho Content-Type e rejeitar documentos ambíguos caso não possam atualizar para a versão 1.0.1.Recomendações
Para as versões 1.0.0 e anteriores da Especificação de Distribuição OCI, atualize para a versão 1.0.1 para garantir que os valores de mediaType correspondam ao cabeçalho Content-Type usado durante as operações de envio e recebimento.
Como solução alternativa temporária, considere fazer com que os clientes desconsiderem o cabeçalho Content-Type e rejeitem documentos ambíguos que contenham os campos
manifests e layers ou manifests e config até que a atualização para a versão 1.0.1 seja possível.Correção
Type Confusion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Centos
Docker
Oci Distribution Specification
Red Hat
Red Os
Rocky Linux
Suse