Dblessing

**Nome do Software Vulnerável e Versões Afetadas** Versões do ruby-saml 1.18.0 e inferiores **Descrição** A biblioteca Ruby SAML, usada para implementar o lado do cliente de uma autorização SAML, contém uma vulnerabilidade de negação de serviço. A configuração `message max bytesize`, destinada a prevenir a exaustão de recursos, é ineficaz devido à ordem das operações no código. Especificamente, a resposta SAML é validada quanto ao formato Base64 antes de verificar o tamanho da mensagem. Isso pode levar ao consumo excessivo de memória, alta utilização da CPU, lentidão na aplicação e possíveis falhas na aplicação, resultando finalmente em uma negação de serviço para usuários legítimos. A vulnerabilidade existe na função `decode raw saml`, onde a função `base64 encoded?` realiza correspondência de regex em toda a string de entrada antes de verificar o tamanho da mensagem. **Recomendações** Versões do ruby-saml anteriores à 1.18.1 são afetadas. Atualize para a versão 1.18.1 ou posterior para resolver este problema.