Inicio / Alerta Temprana / Vulnerabilidades / CVE-2021-21272

Vulnerabilidad en los tarballs gzipped descargados en la funcionalidad directory support en ORAS (CVE-2021-21272)

Tipo: 
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Gravedad: 
Media
Fecha publicación : 
25/01/2021
Última modificación: 
02/02/2021
Descripción
ORAS es un software de código abierto que permite una forma de empujar artefactos OCI a registros conformes con OCI. ORAS es tanto un CLI para pruebas iniciales como un módulo Go. En ORAS a partir de la versión 0.4.0 y anterior a la versión 0.9.0, existe una vulnerabilidad de "deslizamiento de zip". La función de soporte de directorios permite que los tarballs gzipped descargados se extraigan automáticamente al directorio especificado por el usuario, donde el tarball puede tener enlaces simbólicos y enlaces duros. Un tarball o tarballs bien elaborados permiten a los proveedores de artefactos maliciosos enlazar, escribir o sobrescribir archivos específicos en el sistema de archivos del host fuera del directorio especificado por el usuario de forma inesperada con los mismos permisos que el usuario que ejecuta `oras pull`. Los usuarios de las versiones afectadas se ven afectados si son usuarios de `oras` CLI que ejecutan `oras pull`, o si son programas Go, que invocan `github.com/deislabs/oras/pkg/content.FileStore`. El problema ha sido corregido en la versión 0.9.0. Para los usuarios de la CLI de `oras`, no hay ninguna solución que no sea la de extraer de un proveedor de artefactos de confianza. Para los usuarios del paquete `oras`, la solución es no utilizar `github.com/deislabs/oras/pkg/content.FileStore`, y utilizar otros almacenes de contenido en su lugar, o tirar de un proveedor de artefactos de confianza
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No disponible
Tipo de impacto: Afecta parcialmente a la integridad del sistema + No hay impacto en la confidencialidad del sistema + No hay impacto en la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:deislabs:oras:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos