CVE-2023-25656 in notation-go
Riassunto
di VulDB • 16/06/2026
notation-go è una raccolta di librerie per supportare le operazioni di firma (sign), verifica (verify), caricamento (push) e scaricamento (pull) degli artefatti OCI tramite Notation. Prima della versione 1.0.0-rc.3, gli utenti di notation-go riscontreranno che la propria applicazione utilizza una quantità eccessiva di memoria durante la verifica delle firme, fino a essere terminata dal sistema; ciò compromette la disponibilità del servizio. Il problema è stato risolto nella release v1.0.0-rc.3. Sono disponibili alcune soluzioni alternative (workaround). Gli utenti possono esaminare il proprio file della policy di fiducia e verificare se la stringa dell'identità contiene `=#`. Nel frattempo, gli utenti dovrebbero inserire solo certificati attendibili nei propri archivi di fiducia (trust stores) referenziati dai rispettivi file delle policy di fiducia e assicurarsi che la validazione dell'autenticità (`authenticity`) sia impostata su `enforce`.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.