Lowlkiesow

**Nome do software vulnerável e versões afetadas** Versões do Opencast anteriores à 9.2 **Descrição** A vulnerabilidade afeta o Opencast, uma plataforma gratuita e de código aberto para gerenciamento de conteúdo educacional de áudio e vídeo. Nas versões afetadas, a publicação de um episódio com regras de acesso restritas sobrescreve o acesso à série definido no momento, permitindo que o acesso seja facilmente negado a todos os usuários sem privilégios de superusuário e, efetivamente, ocultando a série. O acesso à série e aos metadados da série no serviço de pesquisa depende dos eventos publicados, que fazem parte da série. No entanto, as versões afetadas do Opencast podem não atualizar o acesso à série ou remover uma série publicada se um evento estiver sendo removido, levando a listas de controle de acesso inconsistentes ou metadados da série ainda disponíveis após a remoção de todos os episódios. **Recomendações** Para versões do Opencast anteriores à 9.2, atualize para a versão 9.2 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Opencast anteriores à 8.1 **Descrição** O problema diz respeito ao uso do algoritmo de hash MD5, obsoleto e criptograficamente inseguro, para armazenar senhas. Os hashes são salados usando o nome de usuário em vez de um salt aleatório, o que pode causar colisões entre usuários com o mesmo nome de usuário e senha. Isso poderia permitir que um invasor reconstruísse a senha de um usuário caso obtivesse acesso ao banco de dados onde os hashes estão armazenados. O problema foi resolvido no Opencast 8.1, que agora utiliza o algoritmo de hash de senha bcrypt, mais robusto. Observe que os hashes antigos permanecem como MD5 até que a senha seja atualizada. O endpoint da API `/user-utils/users/md5.json` pode ser usado para identificar usuários cujos hashes de senha estão armazenados usando MD5. **Recomendações** Para versões do Opencast anteriores à 8.1, atualize para a versão 8.1 para resolver o problema. Como solução temporária, considere restringir o acesso ao banco de dados onde os hashes de senha estão armazenados para minimizar o risco de exploração. Além disso, os usuários podem atualizar suas senhas para mudar do MD5 para o algoritmo de hash bcrypt, que é mais seguro.