Plattform
go
Komponente
github.com/sigstore/cosign
Behoben in
3.0.1
2.6.4
3.0.6
CVE-2026-39395 describes a vulnerability in the cosign verify-blob-attestation function, where it may incorrectly report attestations as "Verified OK" even when they contain malformed payloads or mismatched predicate types. This can lead to a false sense of security and potentially allow attackers to distribute compromised software. The vulnerability affects versions of github.com/sigstore/cosign prior to 3.0.6, and a patch is available in version 3.0.6.
CVE-2026-39395 in cosign verify-blob-attestation ermöglicht die fehlerhafte Meldung eines "Verified OK"-Ergebnisses für Attestierungen mit fehlerhaften Payloads oder nicht übereinstimmenden Prädikattypen. Bei alten Bundle- und Detached-Signaturen lag dies an einem logischen Fehler in der Fehlerbehandlung der Prädikattypvalidierung. Bei neuen Bundles wurde die Prädikattypvalidierung vollständig umgangen. Dies könnte einem Angreifer ermöglichen, eine bösartige Attestierung zu erstellen, die die Verifizierung besteht und so das Vertrauen in die Integrität des verifizierten Blobs untergräbt. Die Schwere des Einfalls hängt vom Grad des Vertrauens ab, das in den Attestierungsverifizierungsprozess gesetzt wird.
Ein Angreifer könnte eine bösartige Attestierung mit einer fehlerhaften Payload oder einem ungültigen Prädikattyp erstellen. Wenn cosign verify-blob-attestation ohne --check-claims=true ausgeführt wird, könnte das Tool die Attestierung fälschlicherweise als gültig melden und dem Angreifer ermöglichen, kompromittierte Software zu verbreiten, die so aussieht, als wäre sie verifiziert. Die Wahrscheinlichkeit einer Ausnutzung ist hoch, wenn Benutzer dem Output von cosign blind vertrauen, ohne die Konfiguration und Versionen zu überprüfen.
Exploit-Status
EPSS
0.03% (9% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abschwächung besteht darin, auf Version 3.0.6 oder höher von cosign zu aktualisieren. Diese Version behebt die Schwachstelle, indem sie eine ordnungsgemäße Prädikattypvalidierung für alte und neue Bundle-Formate implementiert. Es wird außerdem dringend empfohlen, die Option --check-claims=true zu verwenden, wenn cosign verify-blob-attestation ausgeführt wird. Dadurch wird eine gründlichere Verifizierung der Ansprüche innerhalb der Attestierung erzwungen, wodurch das Risiko der Annahme bösartiger Attestierungen erheblich reduziert wird. Das Überwachen der cosign-Protokolle auf ungewöhnliches Verhalten kann ebenfalls dazu beitragen, potenzielle Angriffe zu identifizieren.
Actualice Cosign a la versión 3.0.6 o superior para evitar que las validaciones de tipo de predicado se omitan o se manejen incorrectamente, lo que podría resultar en informes falsos de verificación exitosa de blobs con firmas o paquetes malformados.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Eine Blob-Attestierung ist eine signierte Aussage, die die Integrität und Authentizität einer Datei (Blob) überprüft. Sie wird verwendet, um sicherzustellen, dass die Datei seit ihrer Signierung nicht verändert wurde.
Die Validierung des Prädikattypus stellt sicher, dass die Attestierung dem Typ des Blobs entspricht, der überprüft wird. Ohne diese Validierung könnte eine Attestierung für einen Dateityp verwendet werden, um einen anderen zu überprüfen, was Angriffe ermöglichen könnte.
Diese Option zwingt cosign, die Ansprüche innerhalb der Attestierung zu überprüfen und bietet so eine zusätzliche Sicherheitsebene.
Aktualisieren Sie so schnell wie möglich auf Version 3.0.6 oder höher. Verwenden Sie in der Zwischenzeit die Option --check-claims=true, um das Risiko zu mindern.
Es gibt andere Tools zur Überprüfung von Signaturen und Attestierungen, aber cosign ist eine beliebte und weit verbreitete Option im Kubernetes-Ökosystem.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.