Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Notary Project (CVE-2024-23332)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/01/2024
Última modificación:
29/02/2024

Descripción

Notary Project es un conjunto de especificaciones y herramientas destinadas a proporcionar un estándar intersectorial para proteger las cadenas de suministro de software mediante el uso de imágenes de contenedores auténticas y otros artefactos OCI. Un actor externo con control de un registro de contenedor comprometido puede proporcionar versiones obsoletas de artefactos OCI, como imágenes. Esto podría llevar a los consumidores de artefactos con políticas de confianza relajadas (como "permisivas" en lugar de "estrictas") a utilizar potencialmente artefactos con firmas que ya no son válidas, haciéndolos susceptibles a cualquier vulnerabilidad que esos artefactos puedan contener. En Notary Project, un editor de artefactos puede controlar el período de validez del artefacto especificando la caducidad de la firma durante el proceso de firma. El uso de períodos de validez de firma más cortos junto con procesos para renunciar periódicamente a los artefactos permite a los productores de artefactos garantizar que sus consumidores solo recibirán artefactos actualizados. En consecuencia, los consumidores de artefactos deberían utilizar una política de confianza "estricta" o equivalente que imponga la caducidad de la firma. En conjunto, estos pasos permiten el uso de artefactos actualizados y protegen contra ataques de reversión en caso de que el registro se vea comprometido. Notary Project ofrece varias opciones de validación de firmas, como "permisivo", "auditoría" y "omitir" para admitir varios escenarios. Estos escenarios incluyen 1) situaciones que exigen una implementación urgente de cargas de trabajo, que requieren eludir firmas caducadas o revocadas; 2) auditoría de artefactos que carecen de firmas sin interrumpir la carga de trabajo; y 3) omitir la verificación de imágenes específicas que podrían haber sido validadas a través de mecanismos alternativos. Además, Notary Project admite la revocación para garantizar la frescura de la firma. Los editores de artefactos pueden firmar con certificados de corta duración y revocar certificados más antiguos cuando sea necesario. Esta revocación sirve como señal para informar a los consumidores de artefactos que el artefacto vigente correspondiente ya no está aprobado por el editor. Esto permite al editor de artefactos controlar la validez de la firma independientemente de su capacidad para administrar artefactos en un registro comprometido.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:notaryproject:notation-go:*:*:*:*:*:*:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información