notion-go - это набор библиотек для поддержки подписи и проверки артефактов OCI, основанный на спецификациях Notary Project. Проблема была выявлена во время аудита безопасности Quarkslab функции проверки отзыва на основе списка отзыва сертификатов (CRL). После получения CRL, notation-go пытается обновить кэш CRL с помощью метода os.Rename. Однако эта операция может завершиться неудачей из-за ограничений, специфичных для операционной системы, особенно когда исходный и целевой пути находятся на разных точках монтирования. Эта неудача может привести к неожиданному завершению программы. В методе crl.(*FileCache).Set временный файл создается в выделенной области ОС (например, /tmp для Linux/Unix). Файл записывается, а затем его пытаются переместить в выделенный каталог кэша notation с помощью os.Rename. Как указано в документации Go, могут применяться специфические для ОС ограничения. При использовании с Linux OS, он опирается на системный вызов rename из libc, и согласно документации, перемещение файла в другую точку монтирования вызывает ошибку EXDEV, интерпретируемую как Cross device link not permitted error. Некоторые дистрибутивы Linux, такие как RedHat, используют выделенную файловую систему (tmpfs), смонтированную в определенной точке монтирования (обычно /tmp) для временных файлов. При использовании такой ОС проверка отзыва на основе CRL будет неоднократно приводить к сбою notation. В результате процесс проверки подписи прерывается из-за сбоев процесса. Эта проблема была решена в версии 1.3.0-rc.2, и всем пользователям рекомендуется обновиться. Известных обходных путей для этой уязвимости нет.