Plateforme
go
Composant
github.com/sigstore/cosign
Corrigé dans
3.0.1
2.6.4
3.0.6
La vulnérabilité CVE-2026-39395 affecte la commande cosign verify-blob-attestation de la bibliothèque github.com/sigstore/cosign. Elle permet une validation erronée des attestations, signalant un statut "Verified OK" même en présence de payloads malformés ou de types de prédicats incompatibles. Cette faille peut compromettre l'intégrité des processus de vérification, en particulier si l'option --check-claims n'est pas utilisée. La version 3.0.6 corrige cette vulnérabilité.
La vulnérabilité CVE-2026-39395 dans cosign verify-blob-attestation permet de signaler incorrectement un résultat "Vérifié OK" pour les attestations avec des charges utiles malformées ou des types de prédicat incompatibles. Pour les bundles et signatures détachées au format ancien, cela était dû à une erreur logique dans la gestion des erreurs de la validation du type de prédicat. Pour les bundles au format nouveau, la validation du type de prédicat était complètement ignorée. Cela pourrait permettre à un attaquant de créer une attestation malveillante qui passe la vérification, compromettant la confiance dans l'intégrité du blob vérifié. La gravité de l'impact dépend du niveau de confiance accordé au processus de vérification des attestations.
Un attaquant pourrait créer une attestation malveillante avec une charge utile incorrecte ou un type de prédicat non valide. Si cosign verify-blob-attestation est exécuté sans --check-claims=true, l'outil pourrait faussement signaler l'attestation comme valide, permettant à l'attaquant de distribuer des logiciels compromis avec l'apparence d'être vérifiés. La probabilité d'exploitation est élevée si les utilisateurs font aveuglément confiance à la sortie de cosign sans vérifier la configuration et les versions.
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
L'atténuation principale consiste à mettre à niveau vers la version 3.0.6 ou supérieure de cosign. Cette version corrige la vulnérabilité en mettant en œuvre une validation appropriée du type de prédicat pour les bundles aux formats ancien et nouveau. Il est également fortement recommandé d'utiliser l'option --check-claims=true lors de l'exécution de cosign verify-blob-attestation. Cela force une vérification plus approfondie des revendications contenues dans l'attestation, réduisant ainsi considérablement le risque d'accepter des attestations malveillantes. Surveiller les journaux de cosign pour détecter tout comportement inhabituel peut également aider à identifier les attaques potentielles.
Actualice Cosign a la versión 3.0.6 o superior para evitar que las validaciones de tipo de predicado se omitan o se manejen incorrectamente, lo que podría resultar en informes falsos de verificación exitosa de blobs con firmas o paquetes malformados.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Une attestation de blob est une déclaration signée qui vérifie l'intégrité et l'authenticité d'un fichier (blob). Elle est utilisée pour garantir que le fichier n'a pas été modifié depuis sa signature.
La validation du type de prédicat garantit que l'attestation correspond au type de blob qui est vérifié. Sans cette validation, une attestation pour un type de fichier pourrait être utilisée pour vérifier un autre, ce qui pourrait permettre des attaques.
Cette option force cosign à vérifier les revendications contenues dans l'attestation, fournissant une couche de sécurité supplémentaire.
Mettez à niveau vers la version 3.0.6 ou supérieure dès que possible. En attendant, utilisez l'option --check-claims=true pour atténuer le risque.
Il existe d'autres outils de vérification de signatures et d'attestations, mais cosign est une option populaire et largement utilisée dans l'écosystème Kubernetes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.