David Woodhouse

**Nome do software vulnerável e versões afetadas** Apache Zeppelin versões 0.9.0 e anteriores **Descrição** O problema é uma vulnerabilidade de contorno de autenticação que permite que um invasor contorne o mecanismo de autenticação do Zeppelin e se faça passar por outro usuário. **Recomendações** Para as versões 0.9.0 e anteriores do Apache Zeppelin, considere desativar temporariamente o mecanismo de autenticação até que uma correção esteja disponível. Restrinja o acesso a áreas confidenciais do aplicativo para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: OpenConnect versão 8.09 Descrição: O problema está relacionado a um erro de estouro de buffer na função `get cert name` no arquivo `gnutls.c`, que pode ser explorado por um invasor remoto. Essa exploração pode levar a uma negação de serviço, causando a falha do aplicativo ou possivelmente outros impactos não especificados. A vulnerabilidade é acionada por dados de certificado manipulados. Recomendações: Para o OpenConnect versão 8.09, considere desativar a função `get cert name` em `gnutls.c` como uma solução temporária para evitar uma possível exploração até que um patch esteja disponível. Restrinja o acesso a dados de certificados criados propositalmente para minimizar o risco de acionar o estouro de buffer. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions: GNOME NetworkManager version 1.10.2 and earlier Description: The issue is related to an information exposure in the DNS resolver of GNOME NetworkManager, which can lead to private DNS queries being leaked to local network's DNS servers while on VPN. This is due to a lack of protection for service data. An attacker could exploit this to gain unauthorized access to information. Recommendations: For GNOME NetworkManager version 1.10.2 and earlier, at the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Dnsmasq versions prior to 2.63test1 **Description** The issue allows remote attackers to cause a denial of service, specifically through traffic amplification, by sending a spoofed DNS query. This occurs when Dnsmasq is used with certain configurations in libvirt and responds to requests from prohibited interfaces. **Recommendations** For versions prior to 2.63test1, update to version 2.63test1 or later to resolve the issue. As a temporary workaround, consider restricting access to the DNS service to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Vino versions prior to 2.99.4 **Description** The issue allows Vino to connect to external networks, contrary to its configuration settings. This might facilitate remote attacks. **Recommendations** For versions prior to 2.99.4, update to version 2.99.4 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** OpenConnect version 3.18 **Description** A heap-based buffer overflow issue allows remote servers to cause a denial of service via a crafted greeting banner. **Recommendations** For OpenConnect version 3.18, at the moment, there is no information about a newer version that contains a fix for this issue.