Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el encabezado Content-Type en el proyecto OCI Distribution Spec (CVE-2021-41190)
Gravedad:
MediaMedia
Publication date: 17/11/2021
Last modified:
05/12/2021
Descripción:
El proyecto OCI Distribution Spec define un protocolo API para facilitar y estandarizar la distribución de contenidos. En la versión 1.0.0 de OCI Distribution Specification y anteriores, se utilizaba únicamente la cabecera Content-Type para determinar el tipo de documento durante las operaciones push y pull. Los documentos que contenían campos "manifiestos" y "capas" podían interpretarse como un manifiesto o un índice en ausencia de una cabecera Content-Type que los acompañara. Si una cabecera Content-Type cambiaba entre dos pulls del mismo compendio, un cliente podría interpretar el contenido resultante de forma diferente. La especificación de distribución de la OCI se ha actualizado para exigir que el valor de mediaType presente en un manifiesto o índice coincida con la cabecera Content-Type utilizada durante las operaciones push y pull. Los clientes que extraen de un registro pueden desconfiar de la cabecera Content-Type y rechazar un documento ambiguo que contenga campos "manifiestos" y "capas" o campos "manifiestos" y "config" si no pueden actualizarse a la versión 1.0.1 de la especificación