概要
- コンテナイメージの配布を標準化するための配布仕様に脆弱性
- 引数を改ざんすることで特権昇格を突く攻撃に繋がる
OCI Distribution Specification version 1.0.0をバージョンアップで対応。
評価
共通脆弱性評価システムによると
- 攻撃元区分(AV) ネットワーク
- 攻撃条件の複雑さ(AC) 低
- 攻撃に必要な特権レベル(PR) 低
- 利用者の関与(UI) 不要
- 影響の想定範囲(S) 変更あり
- 機密性への影響(C) なし
- 完全性への影響(I) 低
- 可用性への影響(A) なし
でミディアム(中程度)とのこと。メモメモ。