Vulnerabilidad en la configuración obsoleta "Authenticator.whitelist" en "Authenticator.allowed_users" en Oauthenticator para JupyterHub (CVE-2020-26250)

OAuthenticator es un mecanismo de inicio de sesión de OAuth para JupyterHub. En oauthenticator desde la versión 0.12.0 y versiones anteriores a 0.12.2, la configuración obsoleta (en jupyterhub versión 1.2) "Authenticator.whitelist", que debe asignarse de forma transparente a "Authenticator.allowed_users" con una advertencia, es ignorada por las clases OAuthenticator, resultando en el mismo comportamiento como si no se hubiera establecido esta configuración. Si este es el único mecanismo de restricción de autorización (es decir, sin restricciones de grupo o equipo en la configuración), se permitirán todos los usuarios autenticados. Las restricciones basadas en el proveedor, incluidos los valores obsoletos como "GitHubOAuthenticator.org_whitelist" **no** están afectados. Todos los usuarios de OAuthenticator versiones 0.12.0 y 0.12.1 con JupyterHub versión 1.2 (gráfico JupyterHub Helm versiones 0.10.0-0.10.5) que usan la configuración "admin.whitelist.users" en el gráfico de helm jupyterhub o directamente la configuración "c.Authenticator.whitelist". Los usuarios de otra configuración obsoleta, por ejemplo, "c.GitHubOAuthenticator.team_whitelist" **no** se están afectados. Si ve una línea de registro como esta y espera una lista específica de nombres de usuario permitidos: "[I 2020-11-27 16: 51:54.528 aplicación JupyterHub:1717] Sin usar allowed_users. Se permitirá cualquier usuario autenticado" es probable que esté afectado. Se recomienda actualizar oauthenticator a la versión 0.12.2. Una solución alternativa es reemplazar el obsoleto "c.Authenticator.whitelist = ..." con "c.Authenticator.allowed_users = ...". Si algunos usuarios has sido autorizados durante este tiempo que no debería haberlo sido, se debe eliminar por medio de la API o la interfaz de administración, según la documentación de referencia