CVE-2024-45395 in Sigstore-go
要約
〜によって VulDB • 2026年07月01日
Sigstoreは、Sigstoreの署名および検証用のGoライブラリですが、0.6.1以前のバージョンでは、悪意を持って作成されたSigstoreバンドル(大量の検証可能なデータを含む)が提供されると、サービス拒否攻撃を受けやすくなります。このデータには、署名付き透明性ログエントリ、RFC 3161タイムスタンプ、および証明文書の対象が含まれます。これらのデータ構造の検証は計算コストが高いため、過剰なCPUリソースを消費し、結果としてサービス拒否攻撃を引き起こす可能性があります。TUF(The Update Framework)のセキュリティモデルでは、この種の脆弱性を「エンドレスデータ攻撃」として分類しており、これにより検証が完了しない状態となり、sigstore-goに依存したサービスの運用に影響が生じる恐れがあります。
本脆弱性は、sigstore-go 0.6.1で修正されています。同バージョンでは、バンドル内で処理可能な検証可能データの構造数に対してハードリミットが設定されました。これらの制限を超えるデータを含むバンドルの場合、検証は失敗します。具体的な制限値は以下の通りです:署名付き透明性ログエントリ32件、RFC 3161タイムスタンプ32個、証明文書の対象1024件、および各証明文書あたりのダイジェスト数32件。これらの制限は、绝大多数の使用ケースに対応可能でありながら、大量の検証可能なデータを含む悪意を持って作成されたバンドルの検証を防ぐために設定されています。
すぐにアップグレードできないが影響を受けるユーザーは、sigstore-goの検証関数を呼び出す前に、参照されているパッチと同様の制限を適用する手動によるバンドル検証を追加することを検討してください。
If you want to get best quality of vulnerability data, you may have to visit VulDB.