Cosign's verify-blob-attestation meldet falsch-positive Ergebnisse, wenn das Parsen der Nutzlast fehlschlägt
Plattform
go
Komponente
github.com/sigstore/cosign
Behoben in
3.0.1
2.6.4
3.0.6
CVE-2026-39395 describes a vulnerability in the cosign verify-blob-attestation function, where it may incorrectly report attestations as "Verified OK" even when they contain malformed payloads or mismatched predicate types. This can lead to a false sense of security and potentially allow attackers to distribute compromised software. The vulnerability affects versions of github.com/sigstore/cosign prior to 3.0.6, and a patch is available in version 3.0.6.
Erkenne diese CVE in deinem Projekt
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.
Auswirkungen und Angriffsszenarien
CVE-2026-39395 in cosign verify-blob-attestation ermöglicht die fehlerhafte Meldung eines "Verified OK"-Ergebnisses für Attestierungen mit fehlerhaften Payloads oder nicht übereinstimmenden Prädikattypen. Bei alten Bundle- und Detached-Signaturen lag dies an einem logischen Fehler in der Fehlerbehandlung der Prädikattypvalidierung. Bei neuen Bundles wurde die Prädikattypvalidierung vollständig umgangen. Dies könnte einem Angreifer ermöglichen, eine bösartige Attestierung zu erstellen, die die Verifizierung besteht und so das Vertrauen in die Integrität des verifizierten Blobs untergräbt. Die Schwere des Einfalls hängt vom Grad des Vertrauens ab, das in den Attestierungsverifizierungsprozess gesetzt wird.
Ausnutzungskontext
Ein Angreifer könnte eine bösartige Attestierung mit einer fehlerhaften Payload oder einem ungültigen Prädikattyp erstellen. Wenn cosign verify-blob-attestation ohne --check-claims=true ausgeführt wird, könnte das Tool die Attestierung fälschlicherweise als gültig melden und dem Angreifer ermöglichen, kompromittierte Software zu verbreiten, die so aussieht, als wäre sie verifiziert. Die Wahrscheinlichkeit einer Ausnutzung ist hoch, wenn Benutzer dem Output von cosign blind vertrauen, ohne die Konfiguration und Versionen zu überprüfen.
Bedrohungsanalyse
Exploit-Status
EPSS
0.03% (9% Perzentil)
CISA SSVC
CVSS-Vektor
Was bedeuten diese Metriken?
- Attack Vector
- Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
- Attack Complexity
- Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
- Privileges Required
- Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
- User Interaction
- Erforderlich — Opfer muss eine Datei öffnen, auf einen Link klicken oder eine Seite besuchen.
- Scope
- Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
- Confidentiality
- Keine — kein Vertraulichkeitseinfluss.
- Integrity
- Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
- Availability
- Keine — kein Verfügbarkeitseinfluss.
Betroffene Software
Schwachstellen-Klassifikation (CWE)
Zeitleiste
- Reserviert
- Veröffentlicht
- Geändert
- EPSS aktualisiert
Mitigation und Workarounds
Die primäre Abschwächung besteht darin, auf Version 3.0.6 oder höher von cosign zu aktualisieren. Diese Version behebt die Schwachstelle, indem sie eine ordnungsgemäße Prädikattypvalidierung für alte und neue Bundle-Formate implementiert. Es wird außerdem dringend empfohlen, die Option --check-claims=true zu verwenden, wenn cosign verify-blob-attestation ausgeführt wird. Dadurch wird eine gründlichere Verifizierung der Ansprüche innerhalb der Attestierung erzwungen, wodurch das Risiko der Annahme bösartiger Attestierungen erheblich reduziert wird. Das Überwachen der cosign-Protokolle auf ungewöhnliches Verhalten kann ebenfalls dazu beitragen, potenzielle Angriffe zu identifizieren.
So behebenwird übersetzt…
Actualice Cosign a la versión 3.0.6 o superior para evitar que las validaciones de tipo de predicado se omitan o se manejen incorrectamente, lo que podría resultar en informes falsos de verificación exitosa de blobs con firmas o paquetes malformados.
CVE-Sicherheitsnewsletter
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Häufig gestellte Fragen
Was ist CVE-2026-39395 in github.com/sigstore/cosign?
Eine Blob-Attestierung ist eine signierte Aussage, die die Integrität und Authentizität einer Datei (Blob) überprüft. Sie wird verwendet, um sicherzustellen, dass die Datei seit ihrer Signierung nicht verändert wurde.
Bin ich von CVE-2026-39395 in github.com/sigstore/cosign betroffen?
Die Validierung des Prädikattypus stellt sicher, dass die Attestierung dem Typ des Blobs entspricht, der überprüft wird. Ohne diese Validierung könnte eine Attestierung für einen Dateityp verwendet werden, um einen anderen zu überprüfen, was Angriffe ermöglichen könnte.
Wie behebe ich CVE-2026-39395 in github.com/sigstore/cosign?
Diese Option zwingt cosign, die Ansprüche innerhalb der Attestierung zu überprüfen und bietet so eine zusätzliche Sicherheitsebene.
Wird CVE-2026-39395 aktiv ausgenutzt?
Aktualisieren Sie so schnell wie möglich auf Version 3.0.6 oder höher. Verwenden Sie in der Zwischenzeit die Option --check-claims=true, um das Risiko zu mindern.
Wo finde ich den offiziellen github.com/sigstore/cosign-Hinweis für CVE-2026-39395?
Es gibt andere Tools zur Überprüfung von Signaturen und Attestierungen, aber cosign ist eine beliebte und weit verbreitete Option im Kubernetes-Ökosystem.
Ist dein Projekt betroffen?
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.