概要

• コンテナイメージの配布を標準化するための配布仕様に脆弱性
• 引数を改ざんすることで特権昇格を突く攻撃に繋がる

OCI Distribution Specification version 1.0.0をバージョンアップで対応。

評価

共通脆弱性評価システムによると

• 攻撃元区分(AV) ネットワーク
• 攻撃条件の複雑さ(AC) 低
• 攻撃に必要な特権レベル(PR) 低
• 利用者の関与(UI) 不要
• 影響の想定範囲(S) 変更あり
• 機密性への影響(C) なし
• 完全性への影響(I) 低
• 可用性への影響(A) なし

でミディアム（中程度）とのこと。メモメモ。