Evverx

**Nome do Software Vulnerável e Versões Afetadas** Versões do Avahi 0.9rc2 e anteriores **Descrição** O Avahi, um sistema para descoberta de serviços em uma rede local usando mDNS/DNS-SD, é suscetível a uma condição de negação de serviço. O envio de uma resposta mDNS manipulada com um registro CNAME recursivo, onde o alias e o nome canônico são idênticos (por exemplo, "h.local" como um CNAME para "h.local"), pode causar a queda do `avahi-daemon` devido a uma falha de segmentação. Isso ocorre devido a uma recursão ilimitada dentro da função `lookup handle cname`, levando ao esgotamento da pilha. O problema impacta especificamente navegadores de registros onde `AVAHI LOOKUP USE MULTICAST` está explicitamente habilitado, incluindo aqueles utilizados pelo `nss-mdns`. **Recomendações** Versões anteriores à 0.9rc2 devem ser atualizadas para uma versão com a correção incluída no commit 78eab31128479f06e30beb8c1cbf99dd921e2524.

**Nome do software vulnerável e versões afetadas** Versões 250 a 251 do systemd **Descrição** A vulnerabilidade permite que usuários locais provoquem um impasse (deadlock) no systemd-coredump ao causar uma falha com um backtrace extenso. Isso ocorre na função `parse elf object`, no arquivo `shared/elf-util.c`. A metodologia de exploração envolve causar uma falha em um binário que chama a mesma função recursivamente e colocá-lo em um diretório profundamente aninhado para tornar seu backtrace grande o suficiente para causar o deadlock. Isso deve ser feito 16 vezes quando `MaxConnections=16` estiver definido para o arquivo `systemd/units/systemd-coredump.socket`. **Recomendações** Para as versões 250 e 251, como solução temporária, considere restringir o acesso ao arquivo `systemd-coredump.socket` para minimizar o risco de exploração. Além disso, evite definir `MaxConnections` com um valor alto para este arquivo de socket até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** avahi (versões afetadas não especificadas) **Descrição** Uma falha na biblioteca avahi permite que um usuário sem privilégios faça uma chamada dbus, causando a falha do daemon avahi. Esse problema está relacionado a um consumo descontrolado de recursos, o que pode ser explorado para causar uma negação de serviço. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.