प्लेटफ़ॉर्म
go
घटक
github.com/sigstore/cosign
में ठीक किया गया
3.0.1
2.6.4
3.0.6
CVE-2026-39395 github.com/sigstore/cosign में cosign verify-blob-attestation कमांड में एक भेद्यता है। यह भेद्यता गलत सत्यापन परिणाम दे सकती है, जिससे दुर्भावनापूर्ण अटैस्टेशन को 'Verified OK' के रूप में गलत तरीके से स्वीकार किया जा सकता है। यह समस्या पुराने प्रारूप के बंडलों और अलग किए गए हस्ताक्षर में त्रुटि प्रबंधन में दोष के कारण उत्पन्न होती है, और नए प्रारूप के बंडलों में सत्यापन को पूरी तरह से बाईपास किया जाता है। इस भेद्यता को 3.0.6 संस्करण में ठीक किया गया है।
CVE-2026-39395 cosign verify-blob-attestation में, गलत स्वरूपित पेलोड या बेमेल प्रेडिकेट प्रकार वाले प्रमाणों के लिए "Verified OK" परिणाम की गलत रिपोर्टिंग हो सकती है। पुराने प्रारूप के बंडलों और अलग किए गए हस्ताक्षरों के लिए, यह प्रेडिकेट प्रकार सत्यापन त्रुटि हैंडलिंग में एक तार्किक दोष के कारण था। नए प्रारूप के बंडलों के लिए, प्रेडिकेट प्रकार सत्यापन को पूरी तरह से बाईपास कर दिया गया था। यह एक हमलावर को एक दुर्भावनापूर्ण प्रमाण बनाने की अनुमति दे सकता है जो सत्यापन को पास करता है, जिससे सत्यापित blob की अखंडता में विश्वास कमजोर हो जाता है। प्रभाव की गंभीरता सत्यापन प्रक्रिया पर रखे गए विश्वास के स्तर पर निर्भर करती है।
एक हमलावर गलत पेलोड या अमान्य प्रेडिकेट प्रकार के साथ एक दुर्भावनापूर्ण प्रमाण बना सकता है। यदि --check-claims=true के बिना cosign verify-blob-attestation चलाया जाता है, तो टूल गलत तरीके से प्रमाण को वैध रिपोर्ट कर सकता है, जिससे हमलावर सत्यापित दिखने वाले समझौता किए गए सॉफ़्टवेयर को वितरित करने की अनुमति मिलती है। यदि उपयोगकर्ता कॉन्फ़िगरेशन और संस्करणों को सत्यापित किए बिना cosign के आउटपुट पर अंधाधुंध भरोसा करते हैं, तो शोषण की संभावना अधिक होती है।
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
मुख्य शमन उपाय cosign को संस्करण 3.0.6 या उच्चतर में अपग्रेड करना है। यह संस्करण पुराने और नए प्रारूप के बंडलों दोनों के लिए उचित प्रेडिकेट प्रकार सत्यापन को लागू करके भेद्यता को ठीक करता है। cosign verify-blob-attestation चलाते समय --check-claims=true विकल्प का उपयोग करने की भी दृढ़ता से अनुशंसा की जाती है। यह प्रमाण के भीतर दावों का अधिक गहन सत्यापन लागू करता है, जिससे दुर्भावनापूर्ण प्रमाणों को स्वीकार करने का जोखिम काफी कम हो जाता है। cosign लॉग की निगरानी करके असामान्य व्यवहार का पता लगाना भी संभावित हमलों की पहचान करने में मदद कर सकता है।
Actualice Cosign a la versión 3.0.6 o superior para evitar que las validaciones de tipo de predicado se omitan o se manejen incorrectamente, lo que podría resultar en informes falsos de verificación exitosa de blobs con firmas o paquetes malformados.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
ब्लॉब प्रमाण एक हस्ताक्षरित कथन है जो फ़ाइल (ब्लॉब) की अखंडता और प्रामाणिकता को सत्यापित करता है। इसका उपयोग यह सुनिश्चित करने के लिए किया जाता है कि हस्ताक्षर के बाद से फ़ाइल में कोई बदलाव नहीं किया गया है।
प्रिडिकेट प्रकार सत्यापन सुनिश्चित करता है कि प्रमाण उस प्रकार के ब्लॉब से मेल खाता है जिसकी जांच की जा रही है। इस सत्यापन के बिना, एक फ़ाइल प्रकार के लिए एक प्रमाण का उपयोग दूसरे फ़ाइल प्रकार को सत्यापित करने के लिए किया जा सकता है, जिससे हमले संभव हो सकते हैं।
यह विकल्प cosign को प्रमाण के भीतर दावों को सत्यापित करने के लिए मजबूर करता है, जिससे एक अतिरिक्त सुरक्षा परत मिलती है।
जितनी जल्दी हो सके संस्करण 3.0.6 या उच्चतर में अपग्रेड करें। इस बीच, जोखिम को कम करने के लिए --check-claims=true विकल्प का उपयोग करें।
अन्य हस्ताक्षर और प्रमाण सत्यापन उपकरण हैं, लेकिन cosign Kubernetes पारिस्थितिकी तंत्र में एक लोकप्रिय और व्यापक रूप से उपयोग किया जाने वाला विकल्प है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।