CVE-2024-23332

The Notary Project (versões afetadas não especificadas)

Um agente externo com controle sobre um registro de contêineres comprometido pode fornecer versões desatualizadas de artefatos OCI, como imagens. Isso poderia levar os consumidores de artefatos com políticas de confiança menos restritas (como permissive em vez de strict) a usar potencialmente artefatos com assinaturas que não são mais válidas, tornando-os suscetíveis a quaisquer explorações que esses artefatos possam conter. O Projeto Notary oferece várias opções de validação de assinatura, como permissive, audit e skip, para dar suporte a diversos cenários. Os editores de artefatos podem controlar o período de validade dos artefatos especificando a expiração da assinatura durante o processo de assinatura. O uso de períodos de validade de assinatura mais curtos, juntamente com processos para reassinar artefatos periodicamente, permite que os produtores de artefatos garantam que seus consumidores recebam apenas artefatos atualizados.

Para resolver o problema, os editores de artefatos devem especificar a expiração da assinatura durante o processo de assinatura e usar períodos de validade de assinatura mais curtos, juntamente com processos para assinar novamente os artefatos periodicamente.

Os consumidores de artefatos devem usar uma política de confiança strict ou equivalente que imponha a expiração da assinatura.

Como solução alternativa temporária, considere desativar o uso de políticas de confiança permissive até que uma configuração mais segura seja implementada.

Restrinja o acesso a registros de contêineres comprometidos para minimizar o risco de exploração