JVNDB-2025-026063 | |
notaryprojectのnotation-goにおける例外的な状況に対する不適切なチェックまたは処理に関する脆弱性 | |
| 概要 | |
notion-goは、OCIアーティファクトの署名および検証をサポートするためのライブラリ群であり、Notary Projectの仕様に基づいています。この問題は、Quarkslabのセキュリティ監査中に、証明書失効リスト(CRL)に基づく失効チェック機能で特定されました。CRLを取得した後、notation-goはos.Renameメソッドを使用してCRLキャッシュの更新を試みます。しかし、この操作は、特にソースと宛先のパスが異なるマウントポイントにある場合、オペレーティングシステム固有の制限により失敗する可能性があります。この失敗により予期しないプログラムの終了が発生する恐れがあります。メソッド`crl.(*FileCache).Set`では、一時ファイルがOSの専用領域(通常Linux/Unixの/tmpなど)に作成されます。ファイルが書き込まれた後、os.Renameを使って専用の`notation`キャッシュディレクトリに移動しようとします。Goのドキュメントに記載されているように、OS固有の制限が適用されることがあります。Linux OSを使用している場合、libcのrenameシステムコールに依存しており、ドキュメントによると、異なるマウントポイントへのファイル移動はEXDEVエラー(クロスデバイスリンク禁止エラー)を引き起こします。RedHatのような一部のLinuxディストリビューションでは、一時ファイル用に特定のマウントポイント(通常は/tmp)に専用ファイルシステム(tmpfs)がマウントされています。このようなOSを使用すると、CRLに基づく失効チェックは繰り返しnotationをクラッシュさせる原因となります。その結果、プロセスのクラッシュにより署名検証プロセスが中止されます。この問題はバージョン1.3.0-rc.2で対処されており、すべてのユーザーにアップグレードを推奨します。本脆弱性に対する既知の回避策はありません。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 3.3 (注意) [その他]
| |
| 影響を受けるシステム | |
|
| |
notaryproject | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 | |
| 対策 | |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
GitHub | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
|
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2025/01/13 |
| 登録日 | 2026/02/17 |
| 最終更新日 | 2026/02/17 |
