CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2015-9258
https://notcve.org/view.php?id=CVE-2015-9258
In Docker Notary before 0.1, gotuf/signed/verify.go has a Signature Algorithm Not Matched to Key vulnerability. Because an attacker controls the field specifying the signature algorithm, they might (for example) be able to forge a signature by forcing a misinterpretation of an RSA-PSS key as Ed25519 elliptic-curve data. En Docker Notary en versiones anteriores a la 0.1, gotuf/signed/verify.go tiene una vulnerabilidad de algoritmo de firma que no coincide con la clave. Dado que un atacante controla el campo que especifica el algoritmo de la firma, podría (por ejemplo) forjar una firma al forzar que se malinterprete una clave RSA-PSS como datos Ed25519 de curva elíptica. • https://docs.docker.com/notary/changelog https://github.com/theupdateframework/notary/blob/master/docs/resources/ncc_docker_notary_audit_2015_07_31.pdf • CWE-310: Cryptographic Issues •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2015-9259
https://notcve.org/view.php?id=CVE-2015-9259
In Docker Notary before 0.1, the checkRoot function in gotuf/client/client.go does not check expiry of root.json files, despite a comment stating that it does. Even if a user creates a new root.json file after a key compromise, an attacker can produce update files referring to an old root.json file. En Docker Notary en versiones anteriores a la 0.1, la función checkRoot en gotuf/client/client.go no comprueba la caducidad de los archivos root.json, pese a un comentario que afirma que sí lo hace. Incluso si un usuario crea un nuevo archivo root.json después de un compromiso clave, un atacante podría producir archivos de actualización relacionados con el antiguo archivo root.json. • https://docs.docker.com/notary/changelog https://github.com/theupdateframework/notary/blob/master/docs/resources/ncc_docker_notary_audit_2015_07_31.pdf • CWE-434: Unrestricted Upload of File with Dangerous Type •