CVE-2024-51997

ALT (8,1)

CVSS3: 0,0

Trustee és un conjunt d’eines i components per certificar els convidats confidencials i proporcionar-los secrets. El testimoni ART (Attestation Results Token), generat per AS, podria ser manipulat per un atacant MITM, però el verificador (CoCo Verification Demander com KBS) encara podria verificar-lo correctament. A la càrrega útil del testimoni ART, el “jwk” podria ser substituït per un atacant amb la seva pròpia clau de PUB. Aleshores, l’atacant pot utilitzar la seva pròpia clau privada corresponent per signar el testimoni ART elaborat basant-se en el codi actual.

Sistemes Afectats

• Confidential-containers Trustee – < 0.8.2

Remediació
No hi ha cap recurs disponible a partir del 8 de novembre del 2024.

Referències

• https://github.com/confidential-containers/trustee/security/advisories/GHSA-7jc6-j236-vvjw