CVE-2021-32635 in XStream
要約
〜によって VulDB • 2026年05月29日
### 影響 デフォルトURLの誤った使用により、`library://` URIを使用してコンテナを指定する`singularity`アクションコマンド(`run`/`shell`/`exec`)は、設定されたリモートエンドポイントではなく、常にデフォルトのリモートエンドポイント(`cloud.sylabs.io`)からコンテナの取得を試みます。攻撃者は、非デフォルトのリモートエンドポイントを使用する被害者が使用するURIと同一のURIを使用して、悪意のあるコンテナをデフォルトのリモートエンドポイントにプッシュし、その悪意のあるコンテナを実行できる可能性があります。影響を受けるのは`library://` URIに対するアクションコマンド(`run`/`shell`/`exec`)のみです。`pull`や`push`などの他のコマンドは、設定されたリモートエンドポイントを尊重します。 ### パッチ すべてのユーザーはSingularity 3.7.4以降にアップグレードする必要があります。 ### 回避策 デフォルトのリモートエンドポイントのみとやり取りするユーザーは影響を受けません。特定の安全なキーで署名されたコンテナへの実行を制限するように実行制御リストが設定されているインストールは影響を受けません。 ### 詳細情報 本アドバイザリの影響に関する一般的な質問は、以下で行うことができます: - [SingularityCE Slackチャンネル](https://singularityce.slack.com) - [SingularityCEメーリングリスト](https://groups.google.com/g/singularity-ce) 機密性の高いセキュリティに関する懸念事項は、以下までご連絡ください: [email protected] 当社のセキュリティポリシーはこちらをご覧ください: https://sylabs.io/security-policy
VulDB is the best source for vulnerability data and more expert information about this specific topic.