CVE-2024-56138

Nome do Software Vulnerável e Versões Afetadas Versões do notation-go anteriores à 1.3.0-rc.2

Descrição O problema surge da falha em verificar o status de revogação do(s) certificado(s) utilizado(s) para gerar a assinatura de carimbo de tempo durante a geração da mesma. Essa falha cria o potencial para ataques Man-in-The-Middle, nos quais um invasor poderia utilizar um certificado folha comprometido, intermediário ou revogado para gerar uma contra-assinatura maliciosa. Isso pode levar a cenários de Negação de Serviço, particularmente em ambientes CI/CD durante processos de verificação de assinatura, já que a assinatura de carimbo de tempo falharia devido à presença de certificado(s) revogado(s), potencialmente interrompendo as operações.

Recomendações Versões do notation-go anteriores à 1.3.0-rc.2: Atualize para a versão de lançamento 1.3.0-rc.2 ou posterior para corrigir o problema.