Distribution — это набор инструментов для упаковки, отправки, хранения и доставки содержимого контейнеров. Системы, работающие на версиях р…
Distribution — это набор инструментов для упаковки, отправки, хранения и доставки содержимого контейнеров. Системы, работающие на версиях реестра от 3.0.0-beta.1 до 3.0.0-rc.2 с включенной токен-аутентификацией, могут быть уязвимы к проблеме, при которой токен-аутентификация позволяет злоумышленнику внедрить недоверенный ключ подписи в JSON веб-токен (JWT). Проблема заключается в том, как производится проверка ключа JSON (JWK). Когда JWT содержит заголовок JWK без цепочки сертификатов, код только проверяет, совпадает ли KeyID (`kid`) с одним из доверенных ключей, но не проверяет, соответствует ли реальный материал ключа. Исправление этой проблемы доступно в коммите 5ea9aa028db65ca5665f6af2c20ecf9dc34e5fcd и ожидается, что станет частью версии 3.0.0-rc.3. Нет способа обойти эту проблему без патча, если система требует токен-аутентификации.
Функциональность авторизации системы не предотвращает возможности одного пользователя получить доступ к данным другого пользователя путём изменения значения ключа, идентифицирующего эти данные.
https://cwe.mitre.org/data/definitions/639.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| docker-registry | Отслеживается |