Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en los tarballs gzipped descargados en la funcionalidad directory support en ORAS (CVE-2021-21272)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-59 Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Fecha de publicación:
25/01/2021
Última modificación:
21/02/2024

Descripción

ORAS es un software de código abierto que permite una forma de empujar artefactos OCI a registros conformes con OCI. ORAS es tanto un CLI para pruebas iniciales como un módulo Go. En ORAS a partir de la versión 0.4.0 y anterior a la versión 0.9.0, existe una vulnerabilidad de "deslizamiento de zip". La función de soporte de directorios permite que los tarballs gzipped descargados se extraigan automáticamente al directorio especificado por el usuario, donde el tarball puede tener enlaces simbólicos y enlaces duros. Un tarball o tarballs bien elaborados permiten a los proveedores de artefactos maliciosos enlazar, escribir o sobrescribir archivos específicos en el sistema de archivos del host fuera del directorio especificado por el usuario de forma inesperada con los mismos permisos que el usuario que ejecuta `oras pull`. Los usuarios de las versiones afectadas se ven afectados si son usuarios de `oras` CLI que ejecutan `oras pull`, o si son programas Go, que invocan `github.com/deislabs/oras/pkg/content.FileStore`. El problema ha sido corregido en la versión 0.9.0. Para los usuarios de la CLI de `oras`, no hay ninguna solución que no sea la de extraer de un proveedor de artefactos de confianza. Para los usuarios del paquete `oras`, la solución es no utilizar `github.com/deislabs/oras/pkg/content.FileStore`, y utilizar otros almacenes de contenido en su lugar, o tirar de un proveedor de artefactos de confianza

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.70 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
7.70
Gravedad 3.x
ALTA
Vector 2.0
AV:N/AC:L/Au:S/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.00 MEDIA
Vector: AV:N/AC:L/Au:S/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:deislabs:oras:*:*:*:*:*:*:*:* 0.4.0 (incluyendo) 0.9.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información