notion-go — это набор библиотек для поддержки подписи и проверки артефактов OCI. На основе спецификаций Notary Project. Эта проблема была в…

notion-go — это набор библиотек для поддержки подписи и проверки артефактов OCI. На основе спецификаций Notary Project. Эта проблема была выявлена во время аудита Quarkslab функции timestamp. Во время создания подписи timestamp статус отзыва сертификата(ов), используемого для создания подписи timestamp, не проверялся. Во время создания подписи timestamp notation-go не проверял статус отзыва цепочки сертификатов, используемой TSA. Этот недостаток создает уязвимость, которую можно использовать посредством атаки Man-in-The-Middle. Злоумышленник может потенциально использовать скомпрометированный, промежуточный или отозванный конечный сертификат для создания вредоносной встречной подписи, которая затем будет принята и сохранена `notation`. Это может привести к сценариям отказа в обслуживании, особенно в средах CI/CD во время процессов проверки подписи, поскольку подпись timestamp завершится неудачей из-за наличия отозванного сертификата(ов), что может нарушить работу. Эта проблема была решена в версии 1.3.0-rc.2, и всем пользователям рекомендуется обновиться. Известных обходных путей для этой уязвимости нет.