Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Singularity (CVE-2019-11328)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/05/2019
Última modificación:
07/11/2023

Descripción

Se encontró un problema en Singularity versión 3.1.0 hasta la 3.2.0-rc2, un usuario malicioso con acceso local de red hacia el sistema host (por ejemplo, ssh) podría atacar esta vulnerabilidad debido a permisos no seguros que permiten a un usuario editar archivos dentro de `/run/singularity/instances/sing//`. La manipulación de esos archivos puede cambiar el comportamiento del programa starter-suid cuando las peticiones se unen, lo que conlleva a una posible escalada de privilegios en el host.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:sylabs:singularity:*:*:*:*:*:*:*:* 3.1.0 (incluyendo) 3.2.0 (excluyendo)
cpe:2.3:a:sylabs:singularity:3.2.0:-:*:*:*:*:*:*
cpe:2.3:a:sylabs:singularity:3.2.0:rc1:*:*:*:*:*:*
cpe:2.3:a:sylabs:singularity:3.2.0:rc2:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:28:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:29:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:backports:sle-15:-:*:*:*:*:*:*
cpe:2.3:o:opensuse:backports:sle-15:sp1:*:*:*:*:*:*
cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*