CVE-2024-55655

sigstore-python, versões 2.0.0 a 3.6.0

O problema diz respeito à validação insuficiente do “tempo de integração” nos pacotes “v2” e “v3” durante o fluxo de verificação. Isso afeta versões do sigstore-python posteriores à 2.0.0, mas anteriores à 3.6.0. O “tempo de integração” é verificado se houver uma fonte de tempo assinada, como uma promessa de inclusão, mas, caso contrário, é considerado confiável se nenhuma fonte de tempo assinada estiver presente. Isso não afeta os pacotes “v1”, pois eles sempre exigem uma promessa de inclusão. O Sigstore usa a hora assinada para dar suporte à verificação de assinaturas feitas com chaves de assinatura de curta duração. O impacto e a gravidade dessa vulnerabilidade são baixos, pois o Sigstore contém vários outros componentes de imposição que impedem que um invasor se faça passar por uma assinatura válida modificando o carimbo de data/hora de integração. Um invasor que modifique o carimbo de data/hora de integração pode induzir uma negação de serviço, mas isso já é possível com o acesso ao pacote. Um invasor poderia enviar uma nova entrada para o serviço de transparência e substituir a data/hora da nova entrada, mas isso seria rejeitado no momento da validação, pois a data/hora assinada da nova entrada estaria fora da janela de validade do certificado de assinatura original.

Para as versões 2.0.0 a 3.6.0, atualize para a versão 3.6.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao fluxo de verificação para minimizar o risco de exploração.