CVE-2024-39897

Versões do zot anteriores à 2.1.0

O driver de cache GetBlob() no zot, um registro de imagens OCI, permite acesso de leitura a qualquer blob sem uma verificação de controle de acesso. Se uma política accessControl do Zot permitir que usuários tenham acesso de leitura a alguns repositórios, mas restringir o acesso de leitura a outros repositórios, e se dedupe estiver habilitado, um invasor que conheça o nome de uma imagem e o resumo de um blob poderá lê-lo de forma maliciosa por meio de um segundo repositório ao qual tenha acesso de leitura. Esse ataque é possível porque ImageStore.CheckBlob() chama checkCacheBlob() para localizar o blob em um cache global por meio da pesquisa do resumo. Se encontrado, ele é copiado para o repositório solicitado pelo usuário com copyBlob(). O ataque requer que o invasor conheça o nome de uma imagem privada e os resumos de suas camadas.

Para resolver o problema, atualize para a versão 2.1.0 ou posterior.

Como solução alternativa temporária, considere configurar “dedupe”: false nas configurações de “storage” para desativar os drivers de cache do Zot.