PT-2022-23147 · Cosign+1 · Cosign+1
Asraa
+2
·
Publicado
2022-09-14
·
Atualizado
2024-06-15
·
CVE-2022-36056
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do cosign anteriores à 1.12.0
Descrição
Foram identificadas várias falhas no comando
verify-blob do cosign, nas quais o cosign verificava com sucesso um artefato quando a verificação deveria ter falhado. Essas falhas incluem:-
um pacote do cosign pode ser criado para verificar com sucesso um blob mesmo que o rekorBundle incorporado não faça referência à assinatura fornecida,
-
ao fornecer sinalizadores de identidade, o e-mail e o emissor de um certificado não são verificados ao verificar um pacote Rekor, e a identidade do GitHub Actions nunca é verificada,
-
fornecer um pacote Rekor inválido sem o sinalizador experimental resulta em uma verificação bem-sucedida,
-
uma entrada inválida no log de transparência resultará em sucesso imediato na verificação.
Recomendações
Para versões anteriores à 1.12.0, atualize para a versão 1.12.0 para resolver os problemas.
Como solução alternativa temporária para o primeiro problema, considere extrair a assinatura e o certificado do pacote e usá-los para verificação em vez do pacote, executando
cosign verify-blob blob1 --signature $(jq -r ‘.base64Signature’ bundle1) --certificate $(jq -r ‘.cert’ bundle1).No entanto, observe que essa solução alternativa pode fazer uma chamada de rede para o Rekor e pode estar sujeita ao quarto problema.
Para os outros problemas, não há soluções alternativas, e os usuários devem atualizar para a versão 1.12.0.
Exploit
Correção
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Suse
Cosign