CVE-2019-11328

https://notcve.org/view.php?id=CVE-2019-11328

An issue was discovered in Singularity 3.1.0 to 3.2.0-rc2, a malicious user with local/network access to the host system (e.g. ssh) could exploit this vulnerability due to insecure permissions allowing a user to edit files within `/run/singularity/instances/sing/<user>/<instance>`. The manipulation of those files can change the behavior of the starter-suid program when instances are joined resulting in potential privilege escalation on the host. Se encontró un problema en Singularity versión 3.1.0 hasta la 3.2.0-rc2, un usuario malicioso con acceso local de red hacia el sistema host (por ejemplo, ssh) podría atacar esta vulnerabilidad debido a permisos no seguros que permiten a un usuario editar archivos dentro de `/run/singularity/instances/sing//`. La manipulación de esos archivos puede cambiar el comportamiento del programa starter-suid cuando las peticiones se unen, lo que conlleva a una posible escalada de privilegios en el host. • http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00028.html http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00059.html http://www.openwall.com/lists/oss-security/2019/05/16/1 http://www.securityfocus.com/bid/108360 https://github.com/sylabs/singularity/releases/tag/v3.2.0 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/5O3TPL5OOTIZEI4H6IQBCCISBARJ6WL3 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject& • CWE-732: Incorrect Permission Assignment for Critical Resource •