One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8335438 |
| Date de publication | 2023-05-10 18:15:10 (vue: 2023-05-10 21:08:29) |
| Titre | CVE-2023-32076 |
| Texte | In-Toto est un cadre pour protéger l'intégrité de la chaîne d'approvisionnement.La configuration In-Toto est lue à partir de divers répertoires et permet aux utilisateurs de configurer le comportement du cadre.Les fichiers proviennent des répertoires suivant la spécification du répertoire de base XDG.Dans les versions 1.4.0 et précédemment, parmi les fichiers lus se trouve `.in_totorc` qui est un fichier caché dans le répertoire dans lequel In-Toto est exécuté.Si un attaquant contrôle les entrées à une étape de la chaîne d'approvisionnement, il peut masquer ses activités en transmettant également un fichier `.in_totorc` qui inclut les modèles et paramètres d'exclusion nécessaires.Les fichiers RC sont largement utilisés dans d'autres systèmes et des problèmes de sécurité ont également été découverts dans leurs implémentations.Les responsables trouvés dans leurs conversations avec des adoptants en toto que «in_totorc» ne sont pas leur moyen préféré de configurer In-Toto.Comme aucune des options prises en charge dans `IN_TOTORC` n'est unique et peut être définie ailleurs en utilisant des paramètres d'API ou des arguments CLI, les responsables ont décidé de supprimer la prise en charge de` IN_TOTORC`.Le module `user_settings` d'In-Toto \\ a été totalement supprimé dans la validation 3A21D84F40811b7d191fa7bd17265c1f99599afd.Les utilisateurs peuvent également bandonner le code fonctionnaire comme mesure de sécurité.
in-toto is a framework to protect supply chain integrity. The in-toto configuration is read from various directories and allows users to configure the behavior of the framework. The files are from directories following the XDG base directory specification. In versions 1.4.0 and prior, among the files read is `.in_totorc` which is a hidden file in the directory in which in-toto is run. If an attacker controls the inputs to a supply chain step, they can mask their activities by also passing in an `.in_totorc` file that includes the necessary exclude patterns and settings. RC files are widely used in other systems and security issues have been discovered in their implementations as well. Maintainers found in their conversations with in-toto adopters that `in_totorc` is not their preferred way to configure in-toto. As none of the options supported in `in_totorc` is unique, and can be set elsewhere using API parameters or CLI arguments, the maintainers decided to drop support for `in_totorc`. in-toto\'s `user_settings` module has been dropped altogether in commit 3a21d84f40811b7d191fa7bd17265c1f99599afd. Users may also sandbox functionary code as a security measure. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 32076 3a21d84f40811b7d191fa7bd17265c1f99599afd `in `user activities adopters allows also altogether among api are arguments attacker base been behavior can chain cli code commit configuration configure controls conversations cve decided directories directory discovered drop dropped elsewhere exclude file files following found framework from functionary has have hidden implementations includes inputs integrity issues maintainers mask may measure module necessary none not options other parameters passing patterns preferred prior protect read run sandbox security set settings settings` specification step supply support supported systems toto totorc` unique used users using various versions way well which widely xdg |
| Tags | |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.