Syft de Anchore

Errores CVE de EVE Ship Replacement Program.

Vulnerabilidad CVE-2023-24827 de Syft de Anchore. Lista CVE de vulnerabilidade de Syft de Anchore.

Syft es una herramienta CLI y una biblioteca Go para generar una lista de materiales de software (SBOM) a partir de imágenes de contenedores y sistemas de archivos.

6 de febrero del 2023

  • CVE-2023-24827: Se encontró una falla de divulgación de contraseña en las versiones de Syft v0.69.0 y v0.69.1. Esta falla filtra la contraseña almacenada en la variable de entorno SYFT_ATTEST_PASSWORD.
  • La variable de entorno `SYFT_ATTEST_PASSWORD` es para que el comando `syft attest` genere SBOM certificados para la imagen del contenedor dado.
  • Esta variable de entorno se utiliza para descifrar la clave privada (proporcionada con `syft attest --key `) durante el proceso de firma mientras se genera una atestación SBOM.
  • Esta vulnerabilidad afecta a los usuarios que ejecutan syft que tienen la variable de entorno `SYFT_ATTEST_PASSWORD` configurada con credenciales (independientemente de si se usa el comando attest o no).
  • Los usuarios que no tienen establecida la variable de entorno `SYFT_ATTEST_PASSWORD` no se ven afectados por este problema.
  • Las credenciales se filtran de dos maneras: en los registros de syft cuando se usan `-vv` o `-vvv` en el comando syft (que es cualquier nivel de registro >= `DEBUG`) y en la atestación o SBOM solo cuando `
  • Se utiliza el formato syft-json`. Tenga en cuenta que, a partir de la versión 0.69.0, todas las atestaciones generadas por el comando `syft attest` se cargan en el registro OCI (si tiene acceso de escritura a ese registro) de la misma manera que se hace `cosign added`.
  • Esto significa que cualquier atestación generada para las versiones afectadas de syft cuando se estableció la variable de entorno `SYFT_ATTEST_PASSWORD` filtraría las credenciales en la carga útil de atestación cargada en el registro OCI.
  • Este problema se ha corregido en la confirmación `9995950c70` y se ha publicado como v0.70.0. No hay soluciones para esta vulnerabilidad. Se recomienda a los usuarios que actualicen.

Paginas de referencia

  • CVE-2023-24827: https://github.com/anchore/syft/commit/9995950c70e849f9921919faffbfcf46401f71f3 y https://github.com/anchore/syft/security/advisories/GHSA-jp7v-3587-2956

Otras referencias sobre vulnerabilidades CVE

¿Quieres encontrar más vulnerabilidades?.

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-02-09. Fecha publicación el 2023-02-09. Autor: Oscar olg Mapa del sitio Fuente: cve report