Vulnerabilidad en zot (CVE-2024-39897)

zot es un registro de imágenes OCI. Antes de 2.1.0, el controlador de caché `GetBlob()` permite acceso de lectura a cualquier blob sin verificación de control de acceso. Si una política `accessControl` de Zot permite a los usuarios acceso de lectura a algunos repositorios pero restringe el acceso de lectura a otros repositorios y `dedupe` está habilitado (está habilitado de forma predeterminada), entonces un atacante que conoce el nombre de una imagen y el resumen de una blob (al que no tienen acceso de lectura), pueden leerlo maliciosamente a través de un segundo repositorio al que sí tienen acceso de lectura. Este ataque es posible porque [`ImageStore.CheckBlob()` llama a `checkCacheBlob()`](https://github.com/project-zot/zot/blob/v2.1.0-rc2/pkg/storage/imagestore/imagestore .go#L1158-L1159) para encontrar el blob como caché global buscando el resumen. Si se encuentra, se copia al repositorio solicitado por el usuario con `copyBlob()`. El ataque se puede mitigar configurando "dedupe": false en la configuración de "storage". La vulnerabilidad se solucionó en 2.1.0.