Anten Skrabec

**Nome do Software Vulnerável e Versões Afetadas** libxml2 (versões afetadas não especificadas) **Descrição** Uma falha existe quando a biblioteca processa um documento validado por XML Schema Definition (XSD) especialmente criado que contém uma referência de entidade interna. Um invasor pode fornecer um documento malicioso para disparar um erro de confusão de tipo, resultando no travamento do aplicativo e em uma subsequente negação de serviço (DoS), tornando o sistema ou aplicativo afetado indisponível. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** kube-controller-manager (versões afetadas não especificadas) **Descrição** Foi encontrada uma falha no kube-controller-manager, causando uma negação de serviço devido aos pods do KCM entrarem em um ciclo de reinicialização quando a aplicação inicial de uma configuração YAML do HPA não possui um bloco `.spec.behavior.scaleUp`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** OpenStack (versões afetadas não especificadas) **Descrição** Foi identificada uma falha no OpenStack. Quando um usuário tenta excluir uma regra de acesso inexistente em seu escopo, ele exclui outras regras de acesso existentes que não estão associadas a nenhuma credencial de aplicativo. Esse problema pode permitir que um invasor remoto provoque uma negação de serviço. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

CVE-2023-6596 Description<!---->An incomplete fix was shipped for the Rapid Reset (CVE-2023-44487/CVE-2023-39325) vulnerability for an OpenShift https://t.co/1DCu3XGSvy incomplete fix was shipped for the Rapid Reset (CVE-20... https://t.co/DX7Qnsy9u7

**Name of the Vulnerable Software and Affected Versions** python-eventlet (affected versions not specified) **Description** The issue is related to incorrect cleanup or release of resources in the python-eventlet library of the OpenStack Platform. This could allow a remote attacker to cause a denial of service. A regression was introduced in the Red Hat build of python-eventlet due to a change in the patch application strategy. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Red Hat OpenShift Data Science (affected versions not specified) **Description** A flaw was found in Red Hat OpenShift Data Science. When exporting a pipeline from the Elyra notebook pipeline editor as Python DSL or YAML, it reads S3 credentials from the cluster and saves them in plain text in the generated output instead of an ID for a Kubernetes secret. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** distribution versions prior to 2.8.2-beta.1 **Description** A flaw was found in the `/v2/ catalog` endpoint, which accepts a parameter to control the maximum number of records returned (query string: `n`). This vulnerability allows a malicious user to submit an unreasonably large value for `n`, causing the allocation of a massive string array, possibly causing a denial of service through excessive use of memory. The issue is related to unrestricted resource allocation and can be exploited by a remote attacker to cause a denial of service. **Recommendations** Upgrade to at least 2.8.2-beta.1 if you are running `v2.8.x` release. If you use the code from the main branch, update at least to the commit after the specified commit. Restrict access to the affected `/v2/ catalog` API endpoint to minimize the risk of exploitation. Keep this API endpoint behind heightened privilege and avoid leaving it exposed to the internet.

**Name of the Vulnerable Software and Affected Versions** Open vSwitch (affected versions not specified) **Description** A flaw in Open vSwitch is related to insufficient handling of exceptional states due to incorrect checking of Geneve packet metadata. This issue may allow a remote attacker to cause a denial of service if hardware offloading via the netlink path is enabled. The flaw is triggered by crafted Geneve packets and may result in invalid memory accesses. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** OpenShift Container Platform (versões afetadas não especificadas) **Descrição** Foi detectado um vazamento de credenciais no OpenShift Container Platform, no qual a chave privada do certificado do cluster externo estava armazenada incorretamente nos ConfigMaps oauth-serving-cert. Isso tornava-a acessível a qualquer usuário autenticado do OpenShift ou conta de serviço. Um usuário mal-intencionado poderia explorar essa falha lendo o ConfigMap oauth-serving-cert no namespace openshift-config-managed, comprometendo qualquer tráfego da web protegido por esse certificado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** OpenShift (versões afetadas não especificadas) **Descrição** Foi detectado um ataque de validação incorreta de certificado no OpenShift. Uma rota de recodificação com `destinationCACertificate` explicitamente definido como o padrão `serviceCA` ignora a validação interna do certificado TLS do serviço. Essa falha permite que um invasor explore um certificado inválido, resultando em perda de confidencialidade. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** servicemesh-operator (versões afetadas não especificadas) **Descrição** Foi encontrada uma falha no servicemesh-operator, na qual os recursos NetworkPolicy instalados para o Maistra não especificam corretamente quais portas podem ser acessadas. Isso permite o acesso a todas as portas desses recursos a partir de qualquer pod, representando uma ameaça à confidencialidade e integridade dos dados, bem como à disponibilidade do sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.