Loosebazooka

Nome do software vulnerável e versões afetadas: Versões do sigstore-java anteriores à 1.2.0 Descrição: O problema está relacionado à verificação insuficiente em uma situação em que um pacote fornece uma assinatura inválida para um ponto de verificação. Isso afeta clientes que utilizam qualquer variação de `KeylessVerifier.verify()`. O impacto é baixo para clientes que não sejam monitores ou testemunhas, uma vez que outros mecanismos, como carimbos de data/hora de entrada assinados, mitigam esse problema. Um carimbo de data/hora de entrada assinado válido ainda é necessário para que a verificação seja aprovada. Recomendações: Para versões anteriores à 1.2.0, atualize para a versão 1.2.0 para corrigir o problema. Como solução alternativa temporária, os verificadores podem optar por verificar o ponto de verificação manualmente após executar `KeylessVerifier.verify()`, utilizando o código Java fornecido para verificar manualmente a assinatura do ponto de verificação.

**Nome do software vulnerável e versões afetadas** Versões do sigstore-java anteriores à v1.1.0 **Descrição** O problema está relacionado à verificação insuficiente no sigstore-java em uma situação em que um pacote validamente assinado, mas “incompatível”, é apresentado como prova de inclusão em um registro de transparência. Esse bug afeta clientes que utilizam qualquer variação do método KeylessVerifier.verify(). O verificador pode aceitar um pacote com uma entrada de log não relacionada, verificando criptograficamente tudo, mas falhando em garantir que a entrada de log se aplique ao artefato em questão. Isso permite a criação de um pacote sem certificado fulcio e chave privada, combinado com uma entrada de log não relacionada, mas com data e hora corretas, para falsificar o registro de um evento de assinatura. Um agente mal-intencionado usando uma identidade comprometida pode querer fazer isso para evitar a detecção pelos monitores de log do rekor. **Recomendações** Para versões anteriores à v1.1.0, atualize para a v1.1.0 ou posterior para resolver o problema. Como solução alternativa temporária, os verificadores podem recriar a entrada de log e compará-la com a entrada de log fornecida, ou entrar em contato com o log e descobrir se o evento de assinatura do artefato foi de fato adicionado ao log.