Honza801

**Nome do Software Vulnerável e Versões Afetadas** Versões do Open OnDemand anteriores à 4.1 **Descrição** O Open OnDemand fornece acesso web remoto a supercomputadores. O proxy Apache nas versões 4.0.8 e anteriores permite que cabeçalhos sensíveis sejam repassados aos servidores de origem. Isso poderia permitir que usuários maliciosos criassem um servidor de origem em um nó de computação para registrar esses cabeçalhos quando usuários desprevenidos se conectassem a ele. A configuração `OIDCPassClaimsAs` pode ser ajustada para `none` ou `environment` para impedir o repasse de cabeçalhos ao cliente. Para centros com um provedor OIDC, os cookies `mod auth openidc session` podem ser ajustados usando as orientações fornecidas em GHSA-2cwp-8g29-9q32. **Recomendações** Versões anteriores à 4.1 devem ser atualizadas quando o lançamento da 4.1 estiver disponível. Para versões 4.0.x, use `custom location directives` em `ood portal.yml` para remover ou editar cabeçalhos sensíveis. Defina `OIDCPassClaimsAs` como `none` ou `environment`. Ajuste os cookies `mod auth openidc session` usando as orientações fornecidas em GHSA-2cwp-8g29-9q32 para centros com um provedor OIDC.