Jarkko Vesiluoma

**Nome do software vulnerável e versões afetadas** Versões do Rancher 2.7.0 a 2.7.14 Versões do Rancher 2.8.0 a 2.8.7 Versões do Rancher 2.9.0 a 2.9.1 **Descrição** Foi identificada uma vulnerabilidade no Rancher que pode ser explorada em circunstâncias específicas por meio de um ataque man-in-the-middle (MITM). Um invasor precisaria ter controle de um domínio expirado ou executar um ataque de spoofing/sequestro de DNS contra o domínio para explorar essa vulnerabilidade. O domínio visado é aquele usado como URL do Rancher. Esta vulnerabilidade apresenta um alto nível de complexidade, e não há relatos de exploração bem-sucedida. **Recomendações** Para as versões 2.7.0 a 2.7.14 do Rancher, atualize para a versão 2.7.15 para permanecer protegido. Para as versões 2.8.0 a 2.8.7 do Rancher, atualize para a versão 2.8.8 para permanecer protegido. Para as versões 2.9.0 a 2.9.1 do Rancher, atualize para a versão 2.9.2 para permanecer protegido. Como solução alternativa temporária, considere seguir práticas de segurança padrão, incluindo o controle adequado da validade e da propriedade do domínio usado como URL do Rancher, a ativação do DNSSEC e a limpeza e desativação adequadas de clusters não utilizados e clusters downstream. Para nós do Windows que executam versões mais antigas do RKE2, resolva o problema manualmente seguindo as instruções fornecidas e atualizando a versão do `rancher-wins` para 0.4.18 ou superior.