Eric Brown

**Nome do software vulnerável e versões afetadas** Versões do Apache Airflow FTP Provider anteriores à 3.7.0 **Descrição** O problema está relacionado à validação inadequada de certificados em conexões FTP TLS, o que pode ser potencialmente explorado por um invasor. Isso pode afetar a confidencialidade, a integridade e a disponibilidade das informações protegidas. O gancho FTP não possui validação completa de certificados, permitindo uma possível exploração. A implementação da validação adequada de certificados, passando `context=ssl.create default context()` durante a instanciação do FTP TLS, pode ser usada como medida de mitigação para validar os certificados corretamente. **Recomendações** Para corrigir o problema, atualize para a versão 3.7.0, que inclui as correções necessárias para a validação adequada de certificados. Como solução alternativa temporária, considere implementar a validação adequada de certificados passando `context=ssl.create default context()` durante a instanciação do FTP TLS para validar os certificados corretamente.

**Name of the Vulnerable Software and Affected Versions** OpenStack Horizon versions 9.x through 9.1.1 OpenStack Horizon versions 10.x through 10.0.2 OpenStack Horizon version 11.0.0 **Description** The issue allows remote authenticated administrators to conduct cross-site scripting (XSS) attacks by using a crafted federation mapping. **Recommendations** For versions 9.x through 9.1.1, update to a version later than 9.1.1 to resolve the issue. For versions 10.x through 10.0.2, update to a version later than 10.0.2 to resolve the issue. For version 11.0.0, update to a version later than 11.0.0 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** OpenStack Identity (Keystone) versions prior to 2014.1.5 OpenStack Identity (Keystone) versions 2014.2.x prior to 2014.2.4 **Description** The issue allows remote authenticated users to obtain passwords and other sensitive backend information by reading the Keystone logs, as the backend argument configuration option content is logged. **Recommendations** For versions prior to 2014.1.5, update to version 2014.1.5 or later. For versions 2014.2.x prior to 2014.2.4, update to version 2014.2.4 or later.

**Name of the Vulnerable Software and Affected Versions** OpenStack Ceilometer versions 2013.2 and earlier **Description** The issue allows local users to obtain sensitive information, specifically the DB2 or MongoDB password, by reading the log file when the logging level is set to INFO. This occurs because the connection string from ceilometer.conf is logged by impl db2.py and impl mongodb.py. **Recommendations** For OpenStack Ceilometer versions 2013.2 and earlier, consider changing the logging level from INFO to a less verbose setting to prevent sensitive information from being logged. As a temporary workaround, restrict access to the log files to minimize the risk of exploitation.