CVE-2021-32635 in XStream
요약
\~에 의해 VulDB • 2026. 06. 15.
### 영향 기본 URL의 잘못된 사용으로 인해, `library://` URI를 사용하여 컨테이너를 지정하는 `singularity` 작업 명령어(`run`/`shell`/`exec`)는 구성된 원격 엔드포인트가 아닌 항상 기본 원격 엔드포인트(`cloud.sylabs.io`)에서 컨테이너를 가져오려고 시도합니다. 공격자는 비기본 원격 엔드포인트를 사용하는 피해자가 사용한 URI와 동일한 URI로 악성 컨테이너를 기본 원격 엔드포인트에 푸시하여 해당 악성 컨테이너를 실행할 수 있습니다. `library://` URI에 대한 작업 명령어(`run`/`shell`/`exec`)만 영향을 받습니다. `pull` 또는 `push`와 같은 다른 명령어는 구성된 원격 엔드포인트를 준수합니다. ### 패치 모든 사용자는 Singularity 3.7.4 이상으로 업그레이드해야 합니다. ### 우회 방법 기본 원격 엔드포인트에만 상호작용하는 사용자는 영향을 받지 않습니다. 특정 보안 키로 서명된 컨테이너에 대한 실행을 제한하도록 구성된 실행 제어 목록이 있는 설치 환경은 영향을 받지 않습니다. ### 추가 정보 권고안의 영향과 관련된 일반적인 질문은 다음에서 문의할 수 있습니다: - [SingularityCE Slack 채널](https://singularityce.slack.com) - [SingularityCE 메일링 리스트](https://groups.google.com/g/singularity-ce) 민감한 보안 관련 사항은 [email protected]로 보내주세요. 당사 보안 정책은 여기에서 확인하세요: https://sylabs.io/security-policy
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.