Vulnerabilidad en sigstore-python (CVE-2024-55655)

sigstore-python es una herramienta Python para generar y verificar firmas de Sigstore. Las versiones de sigstore-python más nuevas que 2.0.0 pero anteriores a 3.6.0 realizan una validación insuficiente del "tiempo de integración" presente en los paquetes "v2" y "v3" durante el flujo de verificación: el "tiempo de integración" se verifica *si* está presente una fuente de tiempo firmado (como una promesa de inclusión), pero se confía en otro caso si no está presente ninguna fuente de tiempo firmado. Esto no afecta a los paquetes "v1", ya que el formato de paquete "v1" siempre requiere una promesa de inclusión. Sigstore utiliza tiempo firmado para respaldar la verificación de firmas realizadas contra claves de firma de corta duración. El impacto y la gravedad de esta debilidad son *bajos*, ya que Sigstore contiene varios otros componentes de cumplimiento que evitan que un atacante que modifique la marca de tiempo de integración dentro de un paquete suplante una firma válida. En particular, un atacante que modifica la marca de tiempo de integración puede inducir una denegación de servicio, pero de la misma manera que ya es posible con el acceso a paquetes (por ejemplo, modificando la propia firma de forma que no se verifique). Por otra parte, un atacante podría cargar una *nueva* entrada en el servicio de transparencia y sustituir la hora de la nueva entrada. Sin embargo, esta sería rechazada en el momento de la validación, ya que la hora de firma (válida) de la nueva entrada estaría fuera de la ventana de validez del certificado de firma original y, no obstante, haría que el atacante fuera auditable.