apko позволяет пользователям создавать и публиковать образы контейнеров OCI, созданные из пакетов apk. Начиная с версии 0.14.8 и до версии 1.1.1, в абстракции файловой системы dirFS apko была обнаружена уязвимость обхода пути. Злоумышленник, который может предоставить вредоносный пакет APK (например, через скомпрометированный или опечатанный репозиторий), может создавать каталоги или символические ссылки за пределами предполагаемого корня установки.
Методы MkdirAll, Mkdir и Symlink в pkg/apk/fs/rwosfs.go используют filepath.Join() без проверки того, что полученный путь остается в базовом каталоге. Эта проблема исправлена в версии 1.1.1.
Показать оригинальное описание (EN)
apko allows users to build and publish OCI container images built from apk packages. From version 0.14.8 to before 1.1.1, a path traversal vulnerability was discovered in apko's dirFS filesystem abstraction. An attacker who can supply a malicious APK package (e.g., via a compromised or typosquatted repository) could create directories or symlinks outside the intended installation root. The MkdirAll, Mkdir, and Symlink methods in pkg/apk/fs/rwosfs.go use filepath.Join() without validating that the resulting path stays within the base directory. This issue has been patched in version 1.1.1.
Характеристики атаки
Последствия
Строка CVSS v3.1