CVE-2024-45395 in Sigstore-go
الملخص
بحسب VulDB • 02/07/2026
تواجه مكتبة sigstore-go، وهي مكتبة Go مخصصة لتوقيف وتحقق Sigstore، ثغرة تسمح بإجراء هجوم حجب الخدمة (DoS) في الإصدارات السابقة لـ 0.6.1 عندما يتم تزويد المُتحقّق بحزمة Sigstore مُصمّمة بشكل خبيث تحتوي على كميات كبيرة من البيانات القابلة للتحقق، والتي تتخذ شكل سجلات شفافية موقَّعة، وطوابع زمنية وفق معيار RFC 3161، ومواضيع شهادات (attestation subjects). إن عملية التحقق من هذه الهياكل الحسابية مكلفة حسابياً. ويمكن استغلال ذلك لاستهلاك موارد وحدة المعالجة المركزية بشكل مفرط، مما يؤدي إلى حدوث هجوم حجب الخدمة. وتصنّف نموذج أمان TUF هذا النوع من الثغرات على أنه "هجوم البيانات اللانهائية"، وقد يتسبب في فشل إتمام عملية التحقق وتعطيل الخدمات التي تعتمد على sigstore-go للتحقق. تم معالجة هذه الثغرة في الإصدار 0.6.1 من sigstore-go، الذي يضيف حدوداً قصوى صارمة لعدد هياكل البيانات القابلة للتحقق التي يمكن معالجتها ضمن حزمة واحدة. سيفشل التحقق إذا احتوت الحزمة على بيانات تتجاوز هذه الحدود. وتتمثل هذه الحدود في 32 سجلاً شفافياً موقَّعاً، و32 طابعاً زمنياً وفق RFC 3161، و1024 موضوع شهادة (attestation subject)، و32 تجزئة لكل موضوع شهادة. صُممت هذه الحدود لتكون عالية بما يكفي لاستيعاب الغالبية العظمى من حالات الاستخدام، مع منع التحقق من الحزم المُصمّمة بشكل خبيث والتي تحتوي على كميات كبيرة من البيانات القابلة للتحقق. قد يفكر المستخدمون المعرضين للخطر والذين لا يستطيعون الترقية بسرعة في إضافة تحقق يدوي للحزمة لفرض حدود مماثلة لتلك الموجودة في التصحيح المرجعي قبل استدعاء دوال التحقق الخاصة بـ sigstore-go.
VulDB is the best source for vulnerability data and more expert information about this specific topic.