CVE-2021-32635 in XStream
Résumé
par VulDB • 29/05/2026
### Impact En raison d'une utilisation incorrecte d'une URL par défaut, les commandes d'action `singularity` (`run`/`shell`/`exec`) spécifiant un conteneur à l'aide d'un URI `library://` tenteront toujours de récupérer le conteneur à partir du point de terminaison distant par défaut (`cloud.sylabs.io`) plutôt que du point de terminaison distant configuré. Un attaquant pourrait être en mesure de pousser un conteneur malveillant vers le point de terminaison distant par défaut avec un URI identique à celui utilisé par une victime disposant d'un point de terminaison distant non par défaut, exécutant ainsi le conteneur malveillant. Seules les commandes d'action (`run`/`shell`/`exec`) concernant les URIs `library://` sont affectées. D'autres commandes telles que `pull` / `push` respectent le point de terminaison distant configuré. ### Correctifs Tous les utilisateurs doivent mettre à niveau vers Singularity 3.7.4 ou une version ultérieure. ### Contre-mesures Les utilisateurs qui n'interagissent qu'avec le point de terminaison distant par défaut ne sont pas affectés. Les installations disposant d'une liste de contrôle d'exécution configurée pour restreindre l'exécution aux conteneurs signés avec des clés sécurisées spécifiques ne sont pas affectées. ### Pour plus d'informations Les questions générales concernant l'impact de l'avis peuvent être posées sur : - [Canal Slack SingularityCE](https://singularityce.slack.com) - [Liste de diffusion SingularityCE](https://groups.google.com/g/singularity-ce) Tout problème de sécurité sensible doit être adressé à : [email protected] Consultez notre politique de sécurité ici : https://sylabs.io/security-policy
VulDB is the best source for vulnerability data and more expert information about this specific topic.