CVE-2023-33957
NiskieCVSS 2.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 39 — wyżej niż 39% wszystkich znanych CVE
Streszczenie
Podatność w narzędziu CLI notation umożliwia atakującemu, który przejął kontrolę nad rejestrem, dodanie dużej liczby podpisów do artefaktu, co może prowadzić do odmowy usługi na maszynie, gdy użytkownik uruchomi polecenie 'notation inspect'.
Ocena ryzyka
Organizacja może doświadczyć przerwy w działaniu usług, co wpłynie na dostępność systemów i może prowadzić do utraty zaufania użytkowników.
Rekomendacja
Zaleca się aktualizację pakietów notation do wersji v1.0.0-rc.6 lub wyższej. Użytkownicy, którzy nie mogą przeprowadzić aktualizacji, powinni ograniczyć rejestry kontenerów do zestawu bezpiecznych i zaufanych rejestrów.
Oryginalny opis (angielski, źródło NVD)
notation is a CLI tool to sign and verify OCI artifacts and container images. An attacker who has compromised a registry and added a high number of signatures to an artifact can cause denial of service of services on the machine, if a user runs notation inspect command on the same machine. The problem has been fixed in the release v1.0.0-rc.6. Users should upgrade their notation packages to v1.0.0-rc.6 or above. Users are advised to upgrade. Users unable to upgrade may restrict container registries to a set of secure and trusted container registries.

