apko позволяет пользователям создавать и публиковать образы контейнеров OCI, созданные из пакетов apk. Начиная с версии 0.14.8 и до версии 1.1.1, злоумышленник, который контролирует или компрометирует репозиторий APK, используемый apko, может вызвать истощение ресурсов на хосте сборки. Функция ExpandApk в pkg/apk/expandapk/expandapk.go расширяет потоки .apk без применения ограничений на распаковку, позволяя вредоносному репозиторию обслуживать небольшой, сильно сжатый .apk, который раздувается в большой поток tar, потребляя чрезмерное дисковое пространство и время ЦП, вызывая сбои сборки или отказ в обслуживании. Эта проблема исправлена в версии 1.1.1.
Показать оригинальное описание (английский)
apko allows users to build and publish OCI container images built from apk packages. From version 0.14.8 to before 1.1.1, an attacker who controls or compromises an APK repository used by apko could cause resource exhaustion on the build host. The ExpandApk function in pkg/apk/expandapk/expandapk.go expands .apk streams without enforcing decompression limits, allowing a malicious repository to serve a small, highly-compressed .apk that inflates into a large tar stream, consuming excessive disk space and CPU time, causing build failures or denial of service. This issue has been patched in version 1.1.1.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H