Vulnerabilidad en notion-go (CVE-2024-56138)

notion-go es una colección de Librerías para respaldar la firma y verificación de artefactos OCI. Basado en las especificaciones del Proyecto Notary. Este problema se identificó durante la auditoría de Quarkslab de la característica timestamp. Durante la generación de la firma timestampp, no se verificó el estado de revocación de los certificados utilizados para generar la firma timestampmp. Durante la generación de la firma timestampamp, notation-go no verificó el estado de revocación de la cadena de certificados utilizada por la TSA. Este descuido crea una vulnerabilidad que podría explotarse a través de un ataque Man-in-The-Middle. Un atacante podría potencialmente usar un certificado de hoja comprometido, intermedio o revocado para generar una contrafirma maliciosa, que luego sería aceptada y almacenada por `notation`. Esto podría conducir a escenarios de denegación de servicio, particularmente en entornos CI/CD durante los procesos de verificación de firma, ya que la firma timestamptamp fallaría debido a la presencia de un certificado revocado que podría interrumpir las operaciones. Este problema se ha solucionado en la versión 1.3.0-rc.2 y se recomienda a todos los usuarios que actualicen la versión. No se conocen Workarounds para esta vulnerabilidad.