CVE-2022-23649

Versões do Cosign anteriores à 1.5.2

A vulnerabilidade permite que um invasor manipule o Cosign para que ele afirme que existe uma assinatura no log de transparência do Rekor, mesmo que isso não seja verdade. Para isso, o invasor precisa ter permissões de pull e push para a assinatura no OCI, e a vulnerabilidade pode ocorrer tanto na assinatura padrão usando um par de chaves quanto na “assinatura sem chave” com o Fulcio. Se um invasor tiver acesso à assinatura no OCI, ele poderá manipular o Cosign para que acredite que a entrada foi armazenada no Rekor, mesmo que isso não tenha ocorrido. A vulnerabilidade foi corrigida na versão 1.5.2 do Cosign, na qual a signature no signedEntryTimestamp fornecido pelo Rekor agora é comparada à signature que está sendo verificada, retornando um erro caso não correspondam.

Para versões anteriores à 1.5.2, atualize para a versão 1.5.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à assinatura no OCI para minimizar o risco de exploração. Evite usar a anotação dev.sigstore.cosign/bundle na imagem de assinatura até que o problema seja resolvido.