Vulnerabilidad en sigstore-java (CVE-2024-53267)

sigstore-java es un cliente java de sigstore para interactuar con la infraestructura de sigstore. sigstore-java no tiene suficiente verificación para una situación en la que un paquete firmado válidamente pero "no coincidente" se presenta como prueba de inclusión en un registro de transparencia. Este error afecta a los clientes que usan cualquier variación de KeylessVerifier.verify(). El verificador puede aceptar un paquete con una entrada de registro no relacionada, verificando criptográficamente todo, pero no puede garantizar que la entrada de registro se aplique al artefacto en cuestión, por lo que "verifica" un paquete sin ninguna prueba de que se haya registrado el evento de firma. Esto permite la creación de un paquete sin certificado fulcio y clave privada combinados con una entrada de registro no relacionada pero correcta en el tiempo para simular el registro de un evento de firma. Un actor malintencionado que use una identidad comprometida puede querer hacer esto para evitar el descubrimiento a través de los monitores de registro de rekor. La identidad del firmante seguirá estando disponible para el verificador. La firma en el paquete debe seguir estando en el artefacto correcto para que el verificador la apruebe. Sigstore-gradle-plugin y sigstore-maven-plugin no se ven afectados por esto, ya que solo brindan funcionalidad de firma. Este problema se ha corregido en la versión v1.1.0 con PR #856. Se recomienda a todos los usuarios que actualicen. No existen workarounds conocidas para esta vulnerabilidad.