CVE-2024-45395

Nome do software vulnerável e versões afetadas:

Versões do sigstore-go anteriores à 0.6.1

Descrição:

O problema está relacionado a um ataque de negação de serviço que pode ocorrer quando um verificador recebe um pacote Sigstore criado de forma maliciosa contendo grandes quantidades de dados verificáveis. Esses dados podem estar na forma de entradas assinadas no registro de transparência, carimbos de data/hora RFC 3161 e assuntos de atestado. A verificação dessas estruturas de dados é computacionalmente onerosa e pode ser usada para consumir recursos excessivos da CPU, levando a um ataque de negação de serviço. Esse tipo de vulnerabilidade é classificado como um “ataque de dados infinitos” pelo modelo de segurança da TUF e pode levar à falha na conclusão da verificação e à interrupção de serviços que dependem do sigstore-go para verificação.

Recomendações:

Para versões anteriores à 0.6.1, atualize para o sigstore-go 0.6.1 ou posterior para corrigir a vulnerabilidade.

Como solução temporária para usuários que estão vulneráveis, mas não podem atualizar rapidamente, considere adicionar uma validação manual de pacotes para impor limites semelhantes aos do patch mencionado antes de chamar as funções de verificação do sigstore-go.