Vulnerabilidad en Cosign (CVE-2022-23649)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-295
Validación incorrecta de certificados
Fecha de publicación:
18/02/2022
Última modificación:
07/03/2022
Descripción
Cosign proporciona firma de contenedores, verificación y almacenamiento en un registro OCI para el proyecto sigstore. En versiones anteriores a 1.5.2, Cosign puede ser manipulado para afirmar que se presenta una entrada para una firma en el registro de transparencia de Rekor aunque no sea así. Esto requiere que el atacante tenga permisos pull y push para la firma en OCI. Esto puede ocurrir tanto con la firma estándar con un par de claves como con "keyless signing" con Fulcio. Si un atacante presenta acceso a la firma en OCI, puede manipular la cosigna para que crea que la entrada fue almacenada en Rekor aunque no lo haya sido. La vulnerabilidad ha sido parcheada en versión v1.5.2 de Cosign. La "signature" en "signedEntryTimestamp" proporcionado por Rekor es comparado ahora con el "signature" que esta siendo verificando. Si no coinciden, es devuelto un error. Si es copiado un paquete válido con una firma diferente, la verificación debería fallar. La salida de Cosign ahora sólo informa al usuario de que los certificados han sido verificados si un certificado ha sido verificado realmente. Actualmente no es conocida ninguna medida de mitigación
Impacto
Puntuación base 3.x
3.30
Gravedad 3.x
BAJA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sigstore:cosign:*:*:*:*:*:*:*:* | 1.5.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página