Geoff Franks

**Nome do software vulnerável e versões afetadas** Versões do Go anteriores à 1.22.5 **Descrição** O cliente HTTP/1.1 do pacote net/http não tratou adequadamente o caso em que um servidor responde a uma solicitação com o cabeçalho “Expect: 100-continue” e um código de status não informativo (200 ou superior). Esse tratamento incorreto pode deixar a conexão do cliente em um estado inválido, fazendo com que a próxima solicitação enviada por essa conexão falhe. Um invasor que envie uma solicitação a um proxy net/http/httputil.ReverseProxy pode explorar essa falha para causar uma negação de serviço, enviando solicitações “Expect: 100-continue” que provocam uma resposta não informativa do backend. Cada uma dessas solicitações deixa o proxy com uma conexão inválida e faz com que uma solicitação subsequente que utilize essa conexão falhe. **Recomendações** Atualize para a versão 1.22.5 ou posterior do Go para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao proxy net/http/httputil.ReverseProxy para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Cloud Foundry routing release versions 0.262.0 through 0.266.0 **Description** A bug in the gorouter process can cause a denial of service for applications hosted on Cloud Foundry. This occurs when client connections are closed prematurely, leading to the gorouter marking the currently selected backend as failed and removing it from the routing pool. **Recommendations** For versions 0.262.0 through 0.266.0, update to a version later than 0.266.0 to resolve the issue. As a temporary workaround, consider implementing measures to prevent premature client connection closures to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Mac OS X versions prior to 10.5.3 **Description** The issue allows local users to obtain sensitive information by listing the process, as the sso util program in Single Sign-On places passwords on the command line. **Recommendations** For versions prior to 10.5.3, update to Mac OS X version 10.5.3 or later to resolve the issue.