Vulnerabilidad en Trustee (CVE-2024-51997)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-287 Autenticación incorrecta

Fecha de publicación:

08/11/2024

Última modificación:

12/11/2024

Descripción

Trustee es un conjunto de herramientas y componentes para certificar a los invitados confidenciales y proporcionarles secretos. El token ART (**Attestation Results Token**), generado por AS, podría ser manipulado por un atacante MITM, pero el verificador (CoCo Verification Demander como KBS) aún podría verificarlo con éxito. En el payload del token ART, el atacante podría reemplazar el &#39;jwk&#39; con su propia clave pública. Luego, el atacante puede usar su propia clave privada correspondiente para firmar el token ART creado. Según la implementación del código actual (v0.8.0), no se puede detectar dicho reemplazo y modificación. Este problema se ha solucionado en la versión 0.8.2 y se recomienda a todos los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

8.10

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://github.com/confidential-containers/trustee/security/advisories/GHSA-7jc6-j236-vvjw