CVE-2019-19724
https://notcve.org/view.php?id=CVE-2019-19724
Insecure permissions (777) are set on $HOME/.singularity when it is newly created by Singularity (version from 3.3.0 to 3.5.1), which could lead to an information leak, and malicious redirection of operations performed against Sylabs cloud services. Los permisos no seguros (777) se establecen en $HOME/.singularity cuando son creados nuevamente por Singularity (versiones 3.3.0 hasta 3.5.1), lo que podría conllevar a un filtrado de información y un redireccionamiento malicioso de las operaciones realizadas contra los servicios en la nube de Sylabs. • http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00025.html http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00059.html https://github.com/sylabs/singularity/releases/tag/v3.5.2 • CWE-276: Incorrect Default Permissions •
CVE-2019-11328
https://notcve.org/view.php?id=CVE-2019-11328
An issue was discovered in Singularity 3.1.0 to 3.2.0-rc2, a malicious user with local/network access to the host system (e.g. ssh) could exploit this vulnerability due to insecure permissions allowing a user to edit files within `/run/singularity/instances/sing/<user>/<instance>`. The manipulation of those files can change the behavior of the starter-suid program when instances are joined resulting in potential privilege escalation on the host. Se encontró un problema en Singularity versión 3.1.0 hasta la 3.2.0-rc2, un usuario malicioso con acceso local de red hacia el sistema host (por ejemplo, ssh) podría atacar esta vulnerabilidad debido a permisos no seguros que permiten a un usuario editar archivos dentro de `/run/singularity/instances/sing//`. La manipulación de esos archivos puede cambiar el comportamiento del programa starter-suid cuando las peticiones se unen, lo que conlleva a una posible escalada de privilegios en el host. • http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00028.html http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00059.html http://www.openwall.com/lists/oss-security/2019/05/16/1 http://www.securityfocus.com/bid/108360 https://github.com/sylabs/singularity/releases/tag/v3.2.0 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/5O3TPL5OOTIZEI4H6IQBCCISBARJ6WL3 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject& • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2018-19295
https://notcve.org/view.php?id=CVE-2018-19295
Sylabs Singularity 2.4 to 2.6 allows local users to conduct Improper Input Validation attacks. Sylabs Singularity 2.4 a 2.6 permite que usuarios locales lleven a cabo ataques de validación de entradas incorrecta. • https://github.com/sylabs/singularity/releases/tag/2.6.1 • CWE-20: Improper Input Validation •
CVE-2018-12021
https://notcve.org/view.php?id=CVE-2018-12021
Singularity 2.3.0 through 2.5.1 is affected by an incorrect access control on systems supporting overlay file system. When using the overlay option, a malicious user may access sensitive information by exploiting a few specific Singularity features. Singularity desde la versión 2.3.0 hasta la 2.5.1 se ha visto afectado por un control de acceso incorrecto en los sistemas que soportan la superposición (overlay) del sistema de archivos. Al emplear la opción overlay, un usuario malicioso podría acceder a información sensible explotando unas pocas características específicas de Singularity. • http://www.openwall.com/lists/oss-security/2019/05/16/1 https://github.com/singularityware/singularity/releases/tag/2.5.2 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •