プラットフォーム
go
コンポーネント
github.com/sigstore/cosign
修正版
3.0.1
2.6.4
3.0.6
cosign verify-blob-attestation における脆弱性が発見されました。この脆弱性により、不正なペイロードや不一致の述語タイプを持つアテステーションに対して、誤って「Verified OK」の結果が返される可能性があります。この問題は、古い形式のバンドルと分離された署名において、述語タイプの検証におけるロジックエラーが原因でした。バージョン 3.0.6 以降で修正されています。
CVE-2026-39395 は、cosign verify-blob-attestation において、不正なペイロードや一致しない述語タイプを持つアテステーションに対して、「Verified OK」の結果を誤って報告する可能性があります。古い形式のバンドルと分離された署名の場合、これは述語タイプの検証エラー処理の論理的な欠陥によるものでした。新しい形式のバンドルでは、述語タイプの検証が完全にバイパスされました。これにより、攻撃者が検証を通過する悪意のあるアテステーションを作成し、検証されたblobの整合性に対する信頼を損なう可能性があります。影響の重大度は、アテステーション検証プロセスに置かれた信頼のレベルに依存します。
攻撃者は、不正なペイロードまたは無効な述語タイプを持つ悪意のあるアテステーションを作成する可能性があります。cosign verify-blob-attestation を --check-claims=true なしで実行すると、ツールはアテステーションを誤って有効として報告し、攻撃者が検証済みに見えるように損なわれたソフトウェアを配布する可能性があります。cosign の出力を検証せずに盲目的に信頼しているユーザーがいる場合、悪用される可能性は高くなります。
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
CVSS ベクトル
主な軽減策は、cosign をバージョン 3.0.6 以降にアップグレードすることです。このバージョンは、古い形式と新しい形式のバンドルの両方で適切な述語タイプの検証を実装することにより、脆弱性を修正します。また、cosign verify-blob-attestation を実行する際には、--check-claims=true オプションを使用することを強くお勧めします。これにより、アテステーション内の主張をより徹底的に検証し、悪意のあるアテステーションを受け入れるリスクを大幅に軽減します。cosign のログを監視して異常な動作を検出することも、潜在的な攻撃を特定するのに役立ちます。
Actualice Cosign a la versión 3.0.6 o superior para evitar que las validaciones de tipo de predicado se omitan o se manejen incorrectamente, lo que podría resultar en informes falsos de verificación exitosa de blobs con firmas o paquetes malformados.
脆弱性分析と重要アラートをメールでお届けします。
Blob アテステーションは、ファイルの (blob) 整合性と認証を検証する署名されたステートメントです。ファイルが署名されてから変更されていないことを確認するために使用されます。
述語タイプの検証は、アテステーションが検証されている blob のタイプと一致することを確認します。この検証がない場合、あるファイルタイプの認証は別のファイルタイプの検証に使用でき、攻撃が可能になる可能性があります。
このオプションは、cosign にアテステーション内の主張を検証させ、追加のセキュリティレイヤーを提供します。
できるだけ早くバージョン 3.0.6 以降にアップグレードしてください。その間は、リスクを軽減するために --check-claims=true オプションを使用してください。
署名とアテステーションの検証に役立つ他のツールがありますが、cosign は Kubernetes エコシステムで人気があり、広く使用されているオプションです。
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。