Vulnerabilidad en Singularity (CVE-2019-11328)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/05/2019
Última modificación:
07/11/2023
Descripción
Se encontró un problema en Singularity versión 3.1.0 hasta la 3.2.0-rc2, un usuario malicioso con acceso local de red hacia el sistema host (por ejemplo, ssh) podría atacar esta vulnerabilidad debido a permisos no seguros que permiten a un usuario editar archivos dentro de `/run/singularity/instances/sing//`. La manipulación de esos archivos puede cambiar el comportamiento del programa starter-suid cuando las peticiones se unen, lo que conlleva a una posible escalada de privilegios en el host.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:sylabs:singularity:*:*:*:*:*:*:*:* | 3.1.0 (incluyendo) | 3.2.0 (excluyendo) |
cpe:2.3:a:sylabs:singularity:3.2.0:-:*:*:*:*:*:* | ||
cpe:2.3:a:sylabs:singularity:3.2.0:rc1:*:*:*:*:*:* | ||
cpe:2.3:a:sylabs:singularity:3.2.0:rc2:*:*:*:*:*:* | ||
cpe:2.3:o:fedoraproject:fedora:28:*:*:*:*:*:*:* | ||
cpe:2.3:o:fedoraproject:fedora:29:*:*:*:*:*:*:* | ||
cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:* | ||
cpe:2.3:o:opensuse:backports:sle-15:-:*:*:*:*:*:* | ||
cpe:2.3:o:opensuse:backports:sle-15:sp1:*:*:*:*:*:* | ||
cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00028.html
- http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00059.html
- http://www.openwall.com/lists/oss-security/2019/05/16/1
- http://www.securityfocus.com/bid/108360
- https://github.com/sylabs/singularity/releases/tag/v3.2.0
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/5O3TPL5OOTIZEI4H6IQBCCISBARJ6WL3/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/LIHV7DSEVTB5SUPEZ2UXGS3Q6WMEQSO2/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/LNU5BUHFOTYUZVHFUSX2VG4S3RCPUEMA/