[TLP:CLEAR] Vysoce závažná zranitelnost v GitHub knihovně
Byla objevena vysoce závažná zranitelnost v GitHub knihovně [2]. Tato zranitelnost byla opravena ve verzích 5.30.1 a 5.29.3 [1]. Dále byla vydána oprava i pro Apptainer ve verzi 1.3.2 [3].
Neautentizovanému vzdálenému útočníkovi je umožněno vyvolat neoprávněné autentizované přístupy do registrů jménem oběti, což může způsobit vyčerpání prostředků, lokální path traversal a další útoky [1].
Zranitelnost se nachází v produktech:
- github.com/containers/image ve verzích (<5.30.1) OR (>=5.30.0 AND <5.30.1) OR (<5.29.3)
- Apptainer ve verzích <1.3.2
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-3727 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-354: Improper Validation of Integrity Check Value at cwe.mitre.org
Zranitelnost byla veřejně oznámena 14. 5. 2024.
Odkazy
Publikovala Michaela Mačalíková dne 3. 6. 2024.
