Vulnérabilités dans Singularity

Date de publication :

De multiples vulnérabilités ont été découvertes dans Singularity, solution de conteneurisation. Un attaquant distant peut élever son niveau de privilèges, obtenir des informations sensibles, modifier le comportement du programme, ainsi que d’autres impacts non-spécifiés liés à différents bogues.

CVE-2019-11328 [Score CVSS v3 : 8.8] : Une vulnérabilité liée à de mauvaises permissions de fichiers a été découverte dans Singularity. Un attaquant distant disposant d’un faible niveau de permissions peut élever son niveau de privilèges via la modification de fichiers exécutés par le programme.

CVE-2019-19724 [Score CVSS v3 : 7.5] : Une vulnérabilité liée à de mauvaises permissions de fichiers a été découverte dans Singularity. Un attaquant distant disposant d’un faible niveau de permissions peut obtenir des informations sensibles ainsi que modifier le comportement de certaines opérations, via la consultation ou modifications de fichiers générés par le programme.

CVE-2020-13845, CVE-2020-13847 [Score CVSS v3 : 7.5] : Une vulnérabilité liée à une mauvaise vérification d’intégrité a été découverte dans Singularity. Un attaquant peut profiter de l’absence de vérification d’intégrité des images système afin d’empêcher la détection d’une image compromise.

CVE-2020-13846 [Score CVSS v3 : 7.5] : Une vulnérabilité a été découverte dans Singularity. Un problème de signalement d’erreur peut permettre à un attaquant distant de provoquer un impact non-spécifié.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Elévation de privilèges

    Fuite d’informations sensibles

    Compromission indétectable de l’intégrité d’images système

Criticité

    Score CVSS v3 : 8.8 maximum

Existence d’un code d’exploitation

    Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

    CVE-2019-11328 : Singularity versions 3.1.0 à 3.2.0-rc2 incluses

    CVE-2019-19724 : Singularity versions 3.3.0 à 3.5.1 incluses

    CVE-2020-13845, CVE-2020-13847 : Singularity versions 3.0 à 3.5 incluses

    CVE-2020-13846 : Singularity versions 3.5.0 à 3.5.3 incluses

CVE

    CVE-2019-11328

    CVE-2019-19724

    CVE-2020-13845

    CVE-2020-13846

    CVE-2020-13847

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour Singularity vers une version non-vulnérable (voir la section “Composants vulnérables”)

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens