Vulnerabilidades

Flux2 es una solución de entrega continua abierta y extensible para Kubernetes. Las versiones de Flux2 entre 0.1.0 y 0.29.0, helm-controller versiones 0.1.0 a v0.19.0, y kustomize-controller versiones 0.1.0 a v0.23.0 son vulnerables a la inyección de código por medio de un Kubeconfig malicioso. En los despliegues multi-tenancy esto también puede conllevar una escalada de privilegios si la cuenta de servicio del controlador presenta permisos elevados. Las mitigaciones incluyen deshabilitar la funcionalidad por medio de los webhooks de Comprobación de Admisión restringiendo a los usuarios la configuración del campo "spec.kubeConfig" en los objetos Flux "Kustomization" y "HelmRelease". Las mitigaciones adicionales incluyen la aplicación de perfiles restrictivos de AppArmor y SELinux en el pod del controlador para limitar los binarios que pueden ejecutarse. Esta vulnerabilidad está corregida en kustomize-controller versión v0.23.0 y helm-controller versión v0.19.0, ambos incluidos en flux2 versión v0.29.0

TkVideoplayer es una sencilla biblioteca para reproducir archivos de vídeo en tkinter. El consumo no controlado de memoria en las versiones de TKVideoplayer anteriores a 2.0.0, puede teóricamente conllevar a una degradación del rendimiento. No se presentan medidas de mitigación conocidas. Este problema ha sido parcheado y es recomendado a usuarios actualizar a versión 2.0.0 o posterior

Contao es un potente CMS de código abierto que permite crear sitios web profesionales y aplicaciones web escalables. En las versiones de Contao anteriores a 4.13.3 es posible inyectar código en la etiqueta canónica. Como medida de mitigación, los usuarios pueden deshabilitar las etiquetas canónicas en la configuración de la página root

Rsyslog es un sistema muy rápido para el procesamiento de registros. Los módulos para la recepción de syslogs por TCP presentan un potencial desbordamiento del buffer de pila cuando es usado el framing de conteo de octetos. Esto puede resultar en un segfault o algún otro mal funcionamiento. A nuestro entender, esta vulnerabilidad no puede ser usada para una ejecución de código remota. Pero todavía puede haber una pequeña posibilidad de que los expertos lo hagan. El fallo es producido cuando es leído el recuento de octetos. Mientras se presenta una comprobación del número máximo de octetos, los dígitos son escritos en un búfer de montón incluso cuando el recuento de octetos supera el máximo, lo que puede usarse para sobrepasar el búfer de memoria. Sin embargo, una vez que la secuencia de dígitos es detenida, no pueden añadirse más caracteres al búfer. En nuestra opinión, esto hace que las explotaciones remotas sean imposibles o, al menos, muy complejos. El encuadre de octetos es uno de los dos modos de encuadre posibles. Es relativamente infrecuente, pero está habilitado por defecto en los receptores. Los módulos "imtcp", "imptcp", "imgssapi" y "imhttp" son usados para la recepción regular de mensajes syslog. Es una buena práctica no exponerlos directamente al público. Cuando es seguida esta práctica, el riesgo es considerablemente menor. El módulo "imdiag" es un módulo de diagnóstico destinado principalmente a las ejecuciones de los bancos de pruebas. No esperamos que esté presente en ninguna instalación de producción. El framing de octetos no es muy común. Normalmente, es necesario habilitarlo específicamente en los remitentes. Si los usuarios no lo necesitan, pueden deshabilitarlo para los módulos más importantes. Esto mitigará la vulnerabilidad

La plataforma XWiki es una plataforma wiki genérica que ofrece servicios de ejecución para las aplicaciones construidas sobre ella. La API Crypto de XWiki generará certificados X509 firmados por defecto usando SHA1 con RSA, que ya no es considerada segura para su uso en firmas de certificados, debido al riesgo de colisiones con SHA1. El problema ha sido parcheado en versiones 13.10.6, 14.3.1 y 14.4-rc-1 de XWiki. Desde entonces, la Crypto API generará certificados X509 firmados por defecto usando SHA256 con RSA. Es recomendado a administradores que actualicen su instalación de XWiki a una de las versiones parcheadas. Si la actualización no es posible, es posible parchear el módulo xwiki-platform-crypto en una instalación local al aplicar el cambio expuesto en 26728f3 y volviendo a compilar el módulo

Argo Workflows es un motor de flujo de trabajo nativo de contenedores de código abierto para orquestar trabajos paralelos en Kubernetes. En las versiones afectadas, un atacante puede crear un flujo de trabajo que produzca un artefacto HTML que contenga un archivo HTML con un script que use llamadas XHR para interactuar con la API del servidor Argo. El atacante envía por correo electrónico el enlace profundo al artefacto a su víctima. La víctima abre el enlace y el script comienza a ejecutarse. Como el script presenta acceso a la API del Servidor Argo (como la víctima), puede leer información sobre los flujos de trabajo de la víctima, o crear y eliminar flujos de trabajo. Tenga en cuenta que el atacante debe ser un insider: debe tener acceso al mismo cluster que la víctima y debe ser capaz de ejecutar sus propios flujos de trabajo. El atacante debe conocer el sistema de la víctima. No hemos visto ninguna evidencia de esto en la naturaleza. Instamos a todos los usuarios a actualizar a las versiones corregidas

*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: None. Reason: This candidate was withdrawn. Further investigation showed that it was not a security issue. Notes: Consult https://github.com/vyperlang/vyper/security/advisories/GHSA-42j8-8cjv-j5r9 for more information. All references and descriptions in this candidate have been removed to prevent accidental usage

Zoho ManageEngine OPManager versiones hasta 125588, permite una inyección SQL por medio de algunos informes por defecto

go-tuf es una implementación en Go de El Update Framework (TUF). go-tuf no implementa correctamente el flujo de trabajo del cliente para la actualización de los archivos de metadatos para los roles que no sean el rol de root. Específicamente, las comprobaciones para los ataques de retroceso no están implementadas correctamente, lo que significa que un atacante puede causar que los clientes instalen software que es más antiguo que el software que el cliente sabía previamente que estaba disponible, y puede incluir software con vulnerabilidades conocidas. En más detalle, el código del cliente de go-tuf presenta varios problemas en cuanto a la prevención de ataques de retroceso: 1. No presenta en cuenta el contenido de cualquier metadato previamente confiable, si está disponible, antes de proceder con la actualización de roles que no sean el rol root (es decir, los pasos 5.4.3.1 y 5.5.5 del flujo de trabajo detallado del cliente). Esto significa que cualquier forma de verificación de la versión realizada en los metadatos recién descargados es realizada usando el valor por defecto de cero, que siempre pasa. 2. Para los roles de marca de tiempo e instantánea, go-tuf guarda estos archivos de metadatos como confiables antes de verificar si la versión de los metaficheros a los que son referidos es correcta (es decir, los pasos 5.5.4 y 5.6.4 del flujo de trabajo detallado del cliente). Se presenta una corrección disponible en versión 0.3.0 o más reciente. No se conocen medidas de mitigación para este problema, aparte de la actualización

matrix-appservice-irc es un puente IRC de Node.js para Matrix. La vulnerabilidad en node-irc permite a un atacante manipular a un usuario de Matrix para que ejecute comandos de IRC haciendo que responda a un mensaje maliciosamente diseñado. La vulnerabilidad ha sido parcheada en matrix-appservice-irc versión 0.33.2. Absténgase de responder a mensajes de participantes que no sean confiables en las salas de Matrix con puente de IRC. No se presentan medidas de mitigación conocidas para este problema

Auth0 es un broker de autenticación que soporta proveedores de identidad social y empresarial, incluyendo Active Directory, LDAP, Google Apps y Salesforce. En las versiones anteriores a "11.33.0", cuando la funcionalidad "additional signup fields" [está configurada] (https://github.com/auth0/lock#additional-sign-up-fields), un actor malicioso puede inyectar código HTML inválido en estos campos adicionales, que luego es almacenado en la carga útil del servicio "user_metdata" (usando la propiedad "name"). Los correos electrónicos de verificación, cuando son aplicados, son generados usando estos metadatos. Por lo tanto, es posible que un actor diseñe un enlace malicioso inyectando HTML, que luego es presentado como el nombre del destinatario dentro de la plantilla de correo electrónico entregada. Esta vulnerabilidad le afecta si usa la versión "auth0-lock" o inferior y usa la funcionalidad de "additional signup fields" en su aplicación. Actualice a versión "11.33.0"

Hawk es un esquema de autenticación HTTP que proporciona mecanismos para realizar peticiones HTTP autenticadas con verificación criptográfica parcial de la petición y la respuesta, cubriendo el método HTTP, el URI de la petición, el host y, opcionalmente, la carga útil de la petición. Hawk usaba una expresión regular para analizar el encabezado HTTP "Host" ("Hawk.utils.parseHost()"), que estaba sujeta a un ataque DoS de expresión regular - lo que significa que cada carácter añadido en la entrada del atacante aumenta el tiempo de cálculo exponencialmente. ParseHost()" ha sido corregido en versión "9.0.1" para usar la clase "URL' incorporada para analizar el nombre de host. Hawk.authenticate()" acepta el argumento "options". Si éste contiene "host" y "port", serán usadas en lugar de una llamada a "utils.parseHost()"