CVE-2024-45395 in Sigstore-goinformação

Sumário

de VulDB • 27/06/2026

sigstore-go, uma biblioteca Go para assinatura e verificação do Sigstore, é suscetível a um ataque de negação de serviço (DoS) nas versões anteriores à 0.6.1 quando ao verificador é fornecido um Sigstore Bundle maliciosamente elaborado contendo grandes quantidades de dados verificáveis, na forma de entradas de log de transparência assinadas, carimbos de tempo RFC 3161 e sujeitos de atestação (attestation subjects). A verificação dessas estruturas de dados é computacionalmente custosa. Isso pode ser usado para consumir recursos excessivos da CPU, levando a um ataque de negação de serviço. O modelo de segurança do TUF classifica este tipo de vulnerabilidade como "Endless data attack" (ataque de dados infinitos), o que pode levar à falha na conclusão da verificação e ao comprometimento dos serviços que dependem do sigstore-go para verificação. Esta vulnerabilidade é corrigida no sigstore-go 0.6.1, que adiciona limites rígidos ao número de estruturas de dados verificáveis que podem ser processadas em um bundle. A falha na verificação ocorrerá se o bundle contiver dados que excedam esses limites. Os limites são: 32 entradas de log de transparência assinadas, 32 carimbos de tempo RFC 3161, 1024 sujeitos de atestação e 32 digests por sujeito de atestação. Esses limites têm como objetivo ser suficientemente altos para acomodar a vasta maioria dos casos de uso, ao mesmo tempo em que impedem a verificação de bundles maliciosamente elaborados que contêm grandes quantidades de dados verificáveis. Os usuários vulneráveis mas incapazes de atualizar rapidamente podem considerar adicionar validação manual do bundle para impor limites semelhantes aos da correção referenciada antes de chamar as funções de verificação do sigstore-go.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

28/08/2024

Divulgação

05/09/2024

Moderação

aceite

Entrada

VDB-276603

CPE

pronto

EPSS

0.00441

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!