从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 影响:sigstore-go包在验证过程中存在漏洞,当验证器接收恶意构造的Sigstore Bundle时,可能会导致拒绝服务攻击。 - 描述:该漏洞允许攻击者通过提供大量可验证的数据(如签名透明日志条目、RFC 3161时间戳和证明主体)来消耗大量CPU资源,从而导致服务拒绝。 2. 漏洞细节: - 代码位置:漏洞位于sigstore-go的 包中。 - 代码片段: 3. 补丁: - 补丁版本:sigstore-go 0.6.1。 - 补丁内容:补丁限制了Bundle中可验证数据结构的数量,以防止恶意构造的Bundle消耗大量资源。 4. 工作绕过: - 建议:升级到sigstore-go 0.6.1或更高版本是最有效的缓解措施。对于无法快速升级的用户,可以考虑在调用sigstore-go的验证函数之前添加手动Bundle验证,以强制执行与补丁中相同的限制。 5. 漏洞严重性: - 严重性:低(3.1/10)。 6. 漏洞编号: - CVE编号:CVE-2024-45395。 7. 漏洞分类: - CVSS评分:AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:L。 8. 报告者和修复者: - 报告者:AdamKorcz。 - 修复者:codysoyland。 这些信息可以帮助理解漏洞的性质、影响范围以及如何通过补丁和工作绕过措施来缓解风险。