CVE-2024-23332 in Notationinfo

Zusammenfassung

von VulDB • 24.05.2026

Das Notary Project ist eine Sammlung von Spezifikationen und Tools, die darauf abzielen, einen branchenübergreifenden Standard zur Sicherung von Software-Lieferketten bereitzustellen, indem authentische Container-Images und andere OCI-Artefakte verwendet werden. Ein externer Akteur mit Kontrolle über ein kompromittiertes Container-Registry kann veraltete Versionen von OCI-Artefakten, wie Images, bereitstellen. Dies könnte dazu führen, dass Artefakt-Konsumenten mit lockereren Vertrauensrichtlinien (z. B. `permissive` anstelle von `strict`) potenziell Artefakte mit Signaturen verwenden, die nicht mehr gültig sind, wodurch sie anfällig für jegliche Exploits werden, die diese Artefakte enthalten könnten. Im Notary Project kann ein Artefakt-Publisher die Gültigkeitsdauer eines Artefakts steuern, indem er die Ablaufzeit der Signatur während des Signiervorgangs angibt. Die Verwendung kürzerer Gültigkeitsperioden für Signaturen zusammen mit Prozessen zur regelmäßigen Neusignierung von Artefakten ermöglicht es Artefakt-Produzenten sicherzustellen, dass ihre Konsumenten nur aktuelle Artefakte erhalten. Artefakt-Konsumenten sollten entsprechend eine `strict`- oder eine gleichwertige Vertrauensrichtlinie verwenden, die den Ablauf der Signatur durchsetzt. Zusammen ermöglichen diese Schritte die Verwendung aktueller Artefakte und schützen vor Rollback-Angriffen im Falle einer Kompromittierung des Registrys. Das Notary Project bietet verschiedene Optionen zur Signaturvalidierung wie `permissive`, `audit` und `skip`, um verschiedene Szenarien zu unterstützen. Diese Szenarien umfassen 1) Situationen, die eine dringende Bereitstellung von Workloads erfordern, was das Umgehen abgelaufener oder widerrufener Signaturen notwendig macht; 2) die Überprüfung von Artefakten ohne Signaturen, ohne den Workload zu unterbrechen; und 3) das Überspringen der Überprüfung für bestimmte Images, die möglicherweise durch alternative Mechanismen validiert wurden. Darüber hinaus unterstützt das Notary Project die Widerrufsfunktion, um die Frische der Signatur sicherzustellen. Artefakt-Publisher können mit kurzlebigen Zertifikaten signieren und ältere Zertifikate bei Bedarf widerrufen. Dieser Widerruf dient als Signal, um Artefakt-Konsumenten darüber zu informieren, dass das entsprechende, noch nicht abgelaufene Artefakt nicht mehr vom Publisher genehmigt ist. Dies ermöglicht es dem Artefakt-Publisher, die Gültigkeit der Signatur unabhängig von seiner Fähigkeit zur Verwaltung von Artefakten in einem kompromittierten Registry zu steuern.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

15.01.2024

Veröffentlichung

20.01.2024

Moderieren

akzeptiert

Eintrag

VDB-251643

CPE

bereit

EPSS

0.00288

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!