Vulnerabilidad en Cosign (CVE-2024-29902)

Cosign proporciona firma de código y transparencia para contenedores y binarios. Antes de la versión 2.2.4, una imagen remota con un archivo adjunto malicioso podía provocar una denegación de servicio en la máquina host que ejecuta Cosign. Esto puede afectar a otros servicios de la máquina que dependen de la memoria disponible, como una base de datos de Redis, lo que puede provocar la pérdida de datos. También puede afectar la disponibilidad de otros servicios en la máquina que no estarán disponibles mientras dure la denegación de la máquina. La causa principal de este problema es que Cosign lee el archivo adjunto de una imagen remota completamente en la memoria sin verificar primero el tamaño del archivo adjunto. Como tal, un archivo adjunto grande puede hacer que Cosign lea un archivo adjunto grande en la memoria; Si el tamaño de los archivos adjuntos es mayor que la memoria disponible de la máquina, se le negará el servicio a la máquina. El tiempo de ejecución de Go realizará un SigKill después de unos segundos de denegación en todo el sistema. Este problema puede permitir una escalada de la cadena de suministro desde un registro comprometido hasta el usuario de Cosign: si un adjunto ha comprometido un registro o la cuenta de un proveedor de imágenes, puede incluir un archivo adjunto malicioso y dañar al consumidor de la imagen. La versión 2.2.4 contiene un parche para la vulnerabilidad.