Mtrmac

**Nome do software vulnerável e versões afetadas** Versões do Cosign anteriores à 1.5.2 **Descrição** A vulnerabilidade permite que um invasor manipule o Cosign para que ele afirme que existe uma assinatura no log de transparência do Rekor, mesmo que isso não seja verdade. Para isso, o invasor precisa ter permissões de pull e push para a assinatura no OCI, e a vulnerabilidade pode ocorrer tanto na assinatura padrão usando um par de chaves quanto na “assinatura sem chave” com o Fulcio. Se um invasor tiver acesso à assinatura no OCI, ele poderá manipular o Cosign para que acredite que a entrada foi armazenada no Rekor, mesmo que isso não tenha ocorrido. A vulnerabilidade foi corrigida na versão 1.5.2 do Cosign, na qual a `signature` no `signedEntryTimestamp` fornecido pelo Rekor agora é comparada à `signature` que está sendo verificada, retornando um erro caso não correspondam. **Recomendações** Para versões anteriores à 1.5.2, atualize para a versão 1.5.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à assinatura no OCI para minimizar o risco de exploração. Evite usar a anotação `dev.sigstore.cosign/bundle` na imagem de assinatura até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do proglottis Go wrapper anteriores à 0.1.1 **Descrição** A vulnerabilidade está relacionada a um problema de uso após liberação de memória (use-after-free), que pode causar uma falha no sistema ou, potencialmente, permitir a execução de código durante a verificação da assinatura GPG. Isso se deve a um gerenciamento inadequado da memória, em que a memória passada para o C pode ser liberada antes de ser utilizada, levando a falhas no sistema ou à possível execução de código. **Recomendações** Para versões do proglottis Go wrapper anteriores à 0.1.1, atualize para a versão 0.1.1 ou posterior para resolver o problema. Como solução temporária, considere desativar a verificação de assinatura GPG até que um patch esteja disponível. Restrinja o acesso à biblioteca GPGME para minimizar o risco de exploração. Evite usar o proglottis Go wrapper para baixar imagens de contêiner pelo Docker ou CRI-O até que o problema seja resolvido.