Vulnerabilidad en un sistema de archivos squashfs en "unsquashfs" en los métodos de arranque "library", "shub" y "localimage" en Singularity (CVE-2020-15229)

Singularity (una plataforma de contenedores de código abierto) desde la versión 3.1.1 hasta la 3.6.3, presenta una vulnerabilidad. Debido al manejo no seguro de un salto de ruta y la falta de saneamiento de rutas dentro de "unsquashfs", es posible sobrescribir y crear cualquier archivo en el sistema de archivos del host durante la extracción con un sistema de archivos squashfs diseñado. La extracción ocurre automáticamente para una ejecución sin privilegios (ya sea de instalación o con "allow setuid = no") de Singularity cuando un usuario intenta ejecutar una imagen que es una imagen SIF local o un solo archivo que contiene un sistema de archivos squashfs y proviene de fuentes remotas "library://" or "shub://". La construcción de la imagen también está afectada de una manera más seria, ya que puede ser usada por un usuario root, lo que permite a un atacante sobrescribir y crear archivos que conducen a un compromiso del sistema, hasta ahora los métodos de arranque "library", "shub" y "localimage" están activando la extracción de squashfs. Este problema se aborda en Singularity versión 3.6.4. Se recomienda a todos los usuarios que actualicen a la versión 3.6.4, especialmente si usan Singularity principalmente para crear imágenes como usuario root. No existe una solución alternativa sólida, excepto para evitar temporalmente el uso del modo sin privilegios con imágenes de un solo archivo en lugar de imágenes de sandbox. Con respecto a la construcción de la imagen, evite temporalmente construir a partir de fuentes de "library" y "shub" y tanto como sea posible use "--fakeroot" o una máquina virtual para eso