平台
go
组件
github.com/sigstore/cosign
修复版本
3.0.1
2.6.4
3.0.6
CVE-2026-39395 是 sigstore/cosign 组件中的一个漏洞,该漏洞可能导致 cosign verify-blob-attestation 在验证带有格式错误的有效载荷或不匹配的谓词类型的证明时,错误地报告“验证成功”的结果。此漏洞可能被利用来绕过验证过程,从而导致对软件供应链的信任被破坏。该漏洞影响 sigstore/cosign 的早期版本,建议升级到 3.0.6 或更高版本以修复此问题。
CVE-2026-39395 在 cosign verify-blob-attestation 中,可能导致对具有格式不正确的负载或不匹配的谓词类型的证明报告“Verified OK”结果错误。对于旧格式的捆绑包和分离的签名,这是由于谓词类型验证错误处理中的逻辑缺陷造成的。对于新格式的捆绑包,谓词类型验证被完全绕过。这可能允许攻击者创建恶意证明,使其通过验证,从而损害对经过验证的blob完整性的信任。影响的严重程度取决于对证明验证过程的信任程度。
攻击者可以创建具有不正确负载或无效谓词类型的恶意证明。 如果在不使用 --check-claims=true 的情况下运行 cosign verify-blob-attestation,则该工具可能会错误地将证明报告为有效,从而允许攻击者分发外观经过验证的受损软件。 如果用户盲目信任 cosign 的输出而不验证配置和版本,则利用的可能性很高。
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
CVSS 向量
主要缓解措施是将 cosign 升级到 3.0.6 或更高版本。此版本通过为旧格式和新格式的捆绑包实现适当的谓词类型验证来修复漏洞。 强烈建议在运行 cosign verify-blob-attestation 时使用 --check-claims=true 选项。 这将强制对证明中的声明进行更彻底的验证,从而大大降低接受恶意证明的风险。 监控 cosign 日志以检测异常行为也可以帮助识别潜在的攻击。
Actualice Cosign a la versión 3.0.6 o superior para evitar que las validaciones de tipo de predicado se omitan o se manejen incorrectamente, lo que podría resultar en informes falsos de verificación exitosa de blobs con firmas o paquetes malformados.
漏洞分析和关键警报直接发送到您的邮箱。
blob 证明是验证文件(blob)完整性和真实性的签名声明。 它用于确保文件自签名以来未被修改。
谓词类型验证确保证明与正在验证的blob类型相匹配。 如果没有此验证,则一种文件类型的证明可用于验证另一种文件类型,从而可能导致攻击。
此选项强制 cosign 验证证明中的声明,从而提供额外的安全层。
尽快升级到 3.0.6 或更高版本。 期间,使用 --check-claims=true 选项来降低风险。
有其他签名和证明验证工具,但 cosign 是 Kubernetes 生态系统中流行且广泛使用的选项。
上传你的 go.mod 文件,立即知道是否受影响。