Distribuição afetada por exfiltração de credenciais via cache pull-through através de www-authenticate bearer realm

Distribution é um toolkit para empacotar, enviar, armazenar e entregar conteúdo de contêiner. Anterior a 3.1.0, no modo de cache pull-through, distribution descobre endpoints de autenticação de token analisando desafios WWW-Authenticate retornados pelo registro upstream configurado. A URL do realm de um desafio bearer é usada sem validar que ela corresponda ao host do registro upstream. Como resultado, um upstream controlado por um atacante (ou um atacante em posição MitM em relação ao upstream) pode fazer com que distribution envie as credenciais do upstream configuradas via basic auth para uma URL de realm controlada pelo atacante. Esta vulnerabilidade é corrigida em 3.1.0.