Vulnérabilités dans Singularity

Date de publication :

De multiples vulnérabilités ont été découvertes dans Singularity, solution de conteneurisation. Un attaquant distant peut élever son niveau de privilèges, obtenir des informations sensibles, modifier le comportement du programme, ainsi que d’autres impacts non-spécifiés liés à différents bogues.

CVE-2019-11328 [Score CVSS v3 : 8.8] : Une vulnérabilité liée à de mauvaises permissions de fichiers a été découverte dans Singularity. Un attaquant distant disposant d’un faible niveau de permissions peut élever son niveau de privilèges via la modification de fichiers exécutés par le programme.

CVE-2019-19724 [Score CVSS v3 : 7.5] : Une vulnérabilité liée à de mauvaises permissions de fichiers a été découverte dans Singularity. Un attaquant distant disposant d’un faible niveau de permissions peut obtenir des informations sensibles ainsi que modifier le comportement de certaines opérations, via la consultation ou modifications de fichiers générés par le programme.

CVE-2020-13845, CVE-2020-13847 [Score CVSS v3 : 7.5] : Une vulnérabilité liée à une mauvaise vérification d’intégrité a été découverte dans Singularity. Un attaquant peut profiter de l’absence de vérification d’intégrité des images système afin d’empêcher la détection d’une image compromise.

CVE-2020-13846 [Score CVSS v3 : 7.5] : Une vulnérabilité a été découverte dans Singularity. Un problème de signalement d’erreur peut permettre à un attaquant distant de provoquer un impact non-spécifié.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Elévation de privilèges
  • Fuite d’informations sensibles
  • Compromission indétectable de l’intégrité d’images système

Criticité

  • Score CVSS v3 : 8.8 maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

  • CVE-2019-11328 : Singularity versions 3.1.0 à 3.2.0-rc2 incluses
  • CVE-2019-19724 : Singularity versions 3.3.0 à 3.5.1 incluses
  • CVE-2020-13845, CVE-2020-13847 : Singularity versions 3.0 à 3.5 incluses
  • CVE-2020-13846 : Singularity versions 3.5.0 à 3.5.3 incluses

CVE

  • CVE-2019-11328
  • CVE-2019-19724
  • CVE-2020-13845
  • CVE-2020-13846
  • CVE-2020-13847

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour Singularity vers une version non-vulnérable (voir la section “Composants vulnérables”)

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens