配置了宽松信任策略的客户端容易受到公证项目中的回滚攻击 (CVE-2024-23332)
CVE编号
CVE-2024-23332利用情况
暂无补丁情况
N/A披露时间
2024-01-20漏洞描述
Notary Project是一个旨在通过使用真实的容器镜像和其他OCI工件提供一个跨行业安全软件供应链的规范和工具集。拥有被入侵容器注册表控制权的外部用户可以提供过期版本的OCI工件,如镜像。这可能导致放宽信任政策(例如使用`宽松`而不是`严格`)的工件消费者可能使用不再有效的签名的工件,使其容易受到这些工件可能包含的任何攻击的影响。在Notary Project中,工件发布者可以通过在签名过程中指定签名到期来控制工件的有效期。使用较短的签名有效期以及定期重新签名工件的过程,使工件生产者可以确保其消费者只会接收最新的工件。工件消费者应相应地使用`严格`或等效的信任策略来强制执行签名的到期。这些步骤共同实现了使用最新工件,并在注册表被入侵的情况下防止回滚攻击的发生。Notary Project提供了各种签名验证选项,如`宽松`、`审计`和`跳过`,以支持各种场景。这些场景包括:1)需要紧急工作负载部署的情况,需要绕过过期或已撤销的签名;2)对缺乏签名的工件进行审计,而不中断工作负载;3)跳过对可能已通过替代机制进行验证的特定镜像的验证。此外,Notary Project支持吊销以确保签名的新鲜性。工件发布者可以使用短期证书进行签名,并在必要时吊销旧证书。此吊销作为一个信号,通知工件消费者相应的未过期工件不再获得发布者的批准。这使得工件发布者能够独立控制签名的有效性,而不受其在被入侵的注册表中管理工件的能力的影响。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/notaryproject/specifications/commit/cdabdd1042de2999c685fa... | |
| https://github.com/notaryproject/specifications/security/advisories/GHSA-57wx... |
- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 高
- 影响范围 已更改
- 用户交互 需要
- 可用性 低
- 保密性 无
- 完整性 低
| CWE-ID | 漏洞类型 |
| CWE-672 | 在过期或释放后对资源进行操作 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论