Jba

**Nome do software vulnerável e versões afetadas** Openshift Origin versão 3 **Descrição** O problema está relacionado à criação de cookies não seguros no console do Openshift Origin. Especificamente, os cookies não possuem os atributos ‘secure’ e ‘HttpOnly’. **Recomendações** Para o Openshift Origin versão 3, considere configurar o console para definir cookies seguros com os atributos ‘secure’ e ‘HttpOnly’ a fim de mitigar o risco. Como solução temporária, restrinja o acesso a dados confidenciais transmitidos por meio de cookies até que uma correção adequada seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões da biblioteca Hashicorp go-getter anteriores à 1.5.11 **Descrição** O problema diz respeito à biblioteca Hashicorp go-getter, na qual credenciais SSH poderiam ser gravadas em seu arquivo de log. Isso expõe credenciais confidenciais a usuários locais com permissão para ler o arquivo de log. **Recomendações** Para versões anteriores à 1.5.11, atualize para a versão 1.5.11 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo de log para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do http-swagger anteriores à 1.2.6 **Descrição** A vulnerabilidade permite que um invasor realize um ataque de negação de serviço (DoS) que consiste no esgotamento da memória do sistema host devido ao tratamento inadequado de métodos HTTP. Isso também pode levar a outros comportamentos inesperados, como ataques de script entre sites (XSS), por meio do upload de arquivos maliciosos. Recomenda-se que os usuários atualizem para evitar o esgotamento de memória e possíveis ataques XSS. **Recomendações** Para versões anteriores à 1.2.6, atualize para a versão 1.2.6 para resolver o problema. Como solução alternativa temporária para usuários que não possam atualizar, restrinja o prefixo do caminho ao método “GET” para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Ignition anteriores à 2.14.0 **Descrição** Foi identificada uma vulnerabilidade no Ignition que permite o acesso às configurações do Ignition a partir de contêineres sem privilégios em máquinas virtuais (VMs) executadas em produtos VMware. Esse problema é relevante apenas em ambientes de usuário nos quais a configuração do Ignition contém segredos. O maior risco dessa vulnerabilidade é à confidencialidade dos dados. **Recomendações** Para versões do Ignition anteriores à 2.14.0, considere atualizar para o Ignition 2.14.0 ou posterior, que adiciona um novo serviço systemd, `ignition-delete-config.service`, que exclui a configuração do Ignition dos hipervisores compatíveis durante a primeira inicialização. Como solução alternativa temporária, evite armazenar segredos nas configurações do Ignition. Se você tiver ferramentas externas que exijam que a configuração do Ignition permaneça acessível nos metadados da VM após o provisionamento, e sua configuração do Ignition não incluir informações confidenciais, você pode impedir que o Ignition 2.14.0 e versões posteriores excluam a configuração mascarando o `ignition-delete-config.service`.