CVE-2022-29173

Versões do go-tuf anteriores à 0.3.0

O problema diz respeito ao fluxo de trabalho do cliente para a atualização de arquivos de metadados para funções que não sejam a função raiz no go-tuf, uma implementação em Go do The Update Framework (TUF). Especificamente, as verificações contra ataques de reversão não estão implementadas corretamente, permitindo que um invasor faça com que os clientes instalem software mais antigo do que aquele que o cliente sabia estar disponível anteriormente, incluindo potencialmente software com vulnerabilidades conhecidas. O código do cliente apresenta várias falhas: ele não considera metadados previamente confiáveis antes de atualizar funções que não sejam a função raiz e salva arquivos de metadados de carimbo de data/hora e instantâneos como confiáveis antes de verificar a correção de suas versões.

Para versões anteriores à 0.3.0, atualize para a versão 0.3.0 ou mais recente para resolver o problema. Como solução alternativa temporária, considere restringir o uso do fluxo de trabalho do cliente vulnerável até que um patch esteja disponível. Não se conhecem outras soluções alternativas além da atualização.