Vulnerabilidad en Cosign (CVE-2024-29903)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

10/04/2024

Última modificación:

09/01/2025

Descripción

Cosign proporciona firma de código y transparencia para contenedores y binarios. Antes de la versión 2.2.4, los artefactos de software creados con fines malintencionados podían provocar la denegación de servicio de la máquina que ejecuta Cosign, lo que afectaba a todos los servicios de la máquina. La causa principal es que Cosign crea sectores basados en la cantidad de firmas, manifiestos o certificaciones en artefactos que no son de confianza. Como tal, el artefacto que no es de confianza puede controlar la cantidad de memoria que asigna Cosign. El problema exacto es que Cosign asigna memoria excesiva en las líneas, lo que crea un segmento de la misma longitud que los manifiestos. La versión 2.2.4 contiene un parche para la vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.20 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto