Instituto Nacional de ciberseguridad. Sección Incibe

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Notary Project (CVE-2024-23332)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 29/02/2024
    Notary Project es un conjunto de especificaciones y herramientas destinadas a proporcionar un estándar intersectorial para proteger las cadenas de suministro de software mediante el uso de imágenes de contenedores auténticas y otros artefactos OCI. Un actor externo con control de un registro de contenedor comprometido puede proporcionar versiones obsoletas de artefactos OCI, como imágenes. Esto podría llevar a los consumidores de artefactos con políticas de confianza relajadas (como "permisivas" en lugar de "estrictas") a utilizar potencialmente artefactos con firmas que ya no son válidas, haciéndolos susceptibles a cualquier vulnerabilidad que esos artefactos puedan contener. En Notary Project, un editor de artefactos puede controlar el período de validez del artefacto especificando la caducidad de la firma durante el proceso de firma. El uso de períodos de validez de firma más cortos junto con procesos para renunciar periódicamente a los artefactos permite a los productores de artefactos garantizar que sus consumidores solo recibirán artefactos actualizados. En consecuencia, los consumidores de artefactos deberían utilizar una política de confianza "estricta" o equivalente que imponga la caducidad de la firma. En conjunto, estos pasos permiten el uso de artefactos actualizados y protegen contra ataques de reversión en caso de que el registro se vea comprometido. Notary Project ofrece varias opciones de validación de firmas, como "permisivo", "auditoría" y "omitir" para admitir varios escenarios. Estos escenarios incluyen 1) situaciones que exigen una implementación urgente de cargas de trabajo, que requieren eludir firmas caducadas o revocadas; 2) auditoría de artefactos que carecen de firmas sin interrumpir la carga de trabajo; y 3) omitir la verificación de imágenes específicas que podrían haber sido validadas a través de mecanismos alternativos. Además, Notary Project admite la revocación para garantizar la frescura de la firma. Los editores de artefactos pueden firmar con certificados de corta duración y revocar certificados más antiguos cuando sea necesario. Esta revocación sirve como señal para informar a los consumidores de artefactos que el artefacto vigente correspondiente ya no está aprobado por el editor. Esto permite al editor de artefactos controlar la validez de la firma independientemente de su capacidad para administrar artefactos en un registro comprometido.