Katalog CVE

CVE-2023-33957

NiskieCVSS 2.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.51%

Percentyl 39 — wyżej niż 39% wszystkich znanych CVE

Streszczenie

Podatność w narzędziu CLI notation umożliwia atakującemu, który przejął kontrolę nad rejestrem, dodanie dużej liczby podpisów do artefaktu, co może prowadzić do odmowy usługi na maszynie, gdy użytkownik uruchomi polecenie 'notation inspect'.

Ocena ryzyka

Organizacja może doświadczyć przerwy w działaniu usług, co wpłynie na dostępność systemów i może prowadzić do utraty zaufania użytkowników.

Rekomendacja

Zaleca się aktualizację pakietów notation do wersji v1.0.0-rc.6 lub wyższej. Użytkownicy, którzy nie mogą przeprowadzić aktualizacji, powinni ograniczyć rejestry kontenerów do zestawu bezpiecznych i zaufanych rejestrów.

Oryginalny opis (angielski, źródło NVD)

notation is a CLI tool to sign and verify OCI artifacts and container images. An attacker who has compromised a registry and added a high number of signatures to an artifact can cause denial of service of services on the machine, if a user runs notation inspect command on the same machine. The problem has been fixed in the release v1.0.0-rc.6. Users should upgrade their notation packages to v1.0.0-rc.6 or above. Users are advised to upgrade. Users unable to upgrade may restrict container registries to a set of secure and trusted container registries.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS