apkoにおいて、apko dirFSにパス・トラバーサル脆弱性が存在し、ベースディレクトリ外へのファイルシステム書き込みを可能にする

この脆弱性は、攻撃者がAPKパッケージを介して悪意のあるディレクトリやシンボリックリンクを作成できることを意味します。これにより、攻撃者はシステムファイルにアクセスしたり、改ざんしたり、さらにはシステムを完全に制御したりする可能性があります。特に、信頼できないソースからのAPKパッケージを扱う環境では、この脆弱性の悪用によるリスクが高まります。攻撃者は、typosquattedなリポジトリや、悪意のあるコードが混入したパッケージを利用して、この脆弱性を悪用する可能性があります。この脆弱性の悪用は、システム全体のセキュリティを損なう重大な結果を招く可能性があります。

Organizations and developers using chainguard.dev/apko for building APK images, particularly those relying on external or untrusted repositories for APK packages, are at risk. Shared hosting environments where multiple users share the same apko installation are also particularly vulnerable, as a compromised APK package from one user could potentially impact other users.

• linux / server: Monitor apko process file system activity using lsof or auditd for unexpected writes outside the intended installation directory.

lsof -p $(pgrep apko) | grep '/outside/intended/path/'

• generic web: Inspect APK package metadata for suspicious file paths or directory structures before processing. Use tools like zip -v to examine the contents of the APK. • go: Review the pkg/apk/fs/rwosfs.go file for instances of filepath.Join() without proper path validation. Look for potential bypasses of intended directory boundaries.

1. 2026-02-03Disclosure

   disclosure

1. 予約済み2026-01-29
2. 公開日2026-02-03
3. 更新日2026-02-23
4. EPSS 更新日2026-03-23

この脆弱性への最も効果的な対策は、apkoをバージョン1.1.0にアップグレードすることです。アップグレードがシステムに影響を与える場合は、一時的に以前のバージョンにロールバックし、アップグレードプロセスを慎重に評価してください。WAFやプロキシサーバーを使用して、悪意のあるAPKパッケージのアップロードをブロックすることも有効です。また、ファイルシステムのアクセス制御を強化し、不要なディレクトリへのアクセスを制限することも推奨されます。apkoのバージョンアップグレード後、apko versionコマンドを実行して、バージョンが正しく更新されていることを確認してください。