Manizada

**Nome do Software Vulnerável e Versões Afetadas** CoreDNS versões anteriores a 1.14.3 **Descrição** O servidor DNS-over-QUIC (DoQ) pode ser levado a um crescimento ilimitado de goroutines e memória por um invasor remoto não autenticado. Isso ocorre quando um cliente abre inúmeros fluxos QUIC e envia apenas um byte por fluxo. Mesmo quando o pool de trabalhadores está cheio, o servidor continua a criar uma goroutine para cada fluxo aceito para aguardar um token de trabalhador. Além disso, os trabalhadores ativos podem bloquear indefinidamente na função `io.ReadFull()` devido à ausência de um prazo de leitura por fluxo, permitindo que um invasor prenda todos os trabalhadores ao enviar um único byte enquanto o sistema aguarda o segundo byte do prefixo de comprimento do DoQ. Essa sequência leva à exaustão de memória e a um OOM-kill (interrupção por falta de memória), resultando em negação de serviço. **Recomendações** Atualize para a versão 1.14.3.

**Nome do Software Vulnerável e Versões Afetadas** CoreDNS (versões afetadas não especificadas) **Descrição** O plugin de transferência do CoreDNS contém um problema onde a estante de Lista de Controle de Acesso (ACL) incorreta pode ser selecionada quando tanto uma zona pai quanto uma subzona mais específica estão configuradas. Embora a intenção seja seguir a lógica de correspondência de zona mais longa, a função `longestMatch()` em `plugin/transfer/transfer.go` utiliza a comparação de strings lexicográfica para determinar a regra vencedora. Consequentemente, uma regra de transferência de zona pai permissiva pode substituir uma regra de subzona restritiva se o nome da zona pai for lexicograficamente maior que o nome da subzona. Isso permite que clientes não autorizados realizem AXFR (Transferência Total de Zona) ou IXFR (Transferência Incremental de Zona) para a subzona e recuperem seus conteúdos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** CoreDNS (versões afetadas não especificadas) **Descrição** Um bypass de autenticação TSIG existe no CoreDNS afetando transportes modernos. TSIG (Transaction Signature) é um mecanismo utilizado para autenticar mensagens DNS. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions OpenPrinting CUPS versões 2.4.16 e anteriores Description OpenPrinting CUPS é um sistema de impressão para Linux e sistemas Unix-like. Um usuário local não privilegiado pode manipular o `cupsd` para autenticar em um serviço IPP localhost controlado por um invasor usando um token reutilizável Authorization: Local. Este token permite que o invasor faça solicitações /admin/ no localhost e combine CUPS-Create-Local-Printer com printer-is-shared=true para criar uma fila file:///..., ignorando as restrições da política FileDevice. A impressão nessa fila pode levar à sobrescrita arbitrária de arquivos root, potencialmente permitindo a execução de comandos root por meio de técnicas como o descarte de um fragmento sudoers. Recommendations Versões anteriores a 2.4.16 são afetadas. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** OpenPrinting CUPS versões 2.4.16 e anteriores **Description** O notificador RSS permite a travessia de diretório (path traversal) no parâmetro 'notify-recipient-uri' (por exemplo, 'rss:///../job.cache'). Isso permite que um cliente IPP remoto escreva bytes XML de RSS fora do diretório CacheDir/rss em qualquer local que seja gravável por lp. Como o CacheDir é tipicamente gravável por grupo por padrão, o notificador pode substituir arquivos de estado gerenciados pelo root usando um arquivo temporário e a função `rename()`. Isso pode levar à corrupção do cache de trabalhos, fazendo com que o agendador falhe e que trabalhos enfileirados anteriormente desapareçam após a reinicialização do cupsd. **Recommendations** Atualize o pacote rootio-cups para uma versão corrigida.

Name of the Vulnerable Software and Affected Versions CUPS versões 2.4.16 e anteriores Description Uma falha existe no daemon `cupsd` do sistema de impressão CUPS devido à validação insuficiente de entrada ao processar o parâmetro `textWithoutLanguage`. A exploração bem-sucedida permite que um invasor remoto execute código arbitrário enviando um arquivo PostScript especialmente criado para uma fila de impressão compartilhada via uma solicitação Print-Job. O servidor aceita um valor `page-border`, preserva uma nova linha incorporada por meio de escape de opção e reanálise, e então reanalisa o texto PPD da segunda linha resultante como um registro de controle de agendador confiável. Um job de impressão bruto subsequente pode então fazer com que o servidor execute um binário escolhido pelo invasor como `lp`. Recommendations Atualize para uma versão posterior a 2.4.16.

**Nome do Software Vulnerável e Versões Afetadas** Moby/Docker Engine versões anteriores a 29.3.1 **Descrição** Uma falha de segurança no Moby/Docker Engine permite que atacantes com acesso local à API do Docker ou ao container ignorem plugins de autorização (AuthZ). Ao utilizar corpos de requisição HTTP especialmente criados e superdimensionados, um atacante pode fazer com que o daemon do Docker encaminhe requisições para um plugin de autorização sem o corpo. Isso permite a evasão de decisões de controle de acesso que dependem da inspeção do corpo da requisição, possivelmente permitindo operações não autorizadas no daemon e nos containers. Isso pode levar à criação de containers privilegiados com acesso total ao sistema de arquivos do host, resultando em escape de container, escalonamento de privilégios para o host e comprometimento total do sistema hospedeiro. **Recomendações** Atualize o Moby/Docker Engine para a versão 29.3.1 ou posterior. Restrinja o acesso à API do Docker usando TLS, regras de firewall e permissões de socket para limitar o acesso a usuários e redes confiáveis. Evite usar plugins AuthZ que dependam da inspeção do corpo da requisição para decisões de segurança como uma medida paliativa temporária. Revise e reforce as configurações dos plugins AuthZ e valide o processamento de requisições. Monitore os logs do daemon e da API do Docker em busca de requisições anômalas ou manipuladas. Execute o Docker no modo rootless para mitigar riscos. Remova ou restrinja plugins de autorização não confiáveis.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Traefik anteriores à 3.6.8 **Descrição** O Traefik, um proxy reverso HTTP e balanceador de carga, apresenta uma falha na maneira como gerencia solicitações STARTTLS. Um cliente não autenticado pode contornar a configuração `respondingTimeouts.readTimeout` enviando um prelúdio SSLRequest (STARTTLS) do PostgreSQL de 8 bytes e, em seguida, estagnando a conexão. Isso faz com que as conexões permaneçam abertas indefinidamente, resultando em uma negação de serviço. A falha ocorre durante a detecção de protocolo antes do roteamento e é acessível em um entrypoint mesmo sem nenhum roteador Postgres/TCP configurado. Um atacante pode enviar o SSLRequest do PostgreSQL, receber uma resposta do Traefik e, em seguida, parar de enviar mais bytes, mantendo a conexão aberta além do tempo limite de leitura configurado. Isso consome descritores de arquivo e goroutines, podendo esgotar os recursos do sistema e tornar o proxy indisponível. **Recomendações** Atualize para a versão 3.6.8 ou posterior do Traefik para resolver este problema.

**Name of the Vulnerable Software and Affected Versions** systemd (affected versions not specified) **Description** The systemd-machined service has an issue with access control due to inadequate validation of the `class` parameter within the RegisterMachine D-Bus method. A local user with limited privileges can exploit this by registering a machine with a specific `class` value. This action can create a machine object controlled by the attacker, enabling them to execute methods on a privileged object. Successful exploitation allows the attacker to run arbitrary commands with root privileges on the host system. The D-Bus method involved is `RegisterMachine`. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Caddy anteriores a 2.11.1 **Descrição** O matcher de solicitações HTTP `host` do Caddy é documentado como insensível a maiúsculas e minúsculas, mas torna-se sensível a maiúsculas e minúsculas quando configurado com uma lista de hosts grande (mais de 100 entradas) devido a um caminho de correspondência otimizado. Um invasor pode contornar o roteamento baseado em host e quaisquer controles de acesso associados a essa rota alterando a capitalização do cabeçalho `Host`. Este é um contorno de rota/autenticação na camada de correspondência de solicitações do Caddy. Implantações do Caddy expostas à internet que dependem de matchers `host` com listas grandes de hosts para proteger rotas podem ser contornadas ao alterar a capitalização do cabeçalho `Host`, possivelmente permitindo acesso não autorizado a endpoints sensíveis. O componente afetado é o matcher `MatchHost`, especificamente a função `MatchHost.MatchWithError`. A vulnerabilidade ocorre porque o matcher utiliza uma comparação de strings sensível a maiúsculas e minúsculas quando a lista de hosts excede 100 entradas. O cabeçalho `Host` é um cabeçalho de solicitação HTTP padrão usado para identificar o recurso solicitado. **Recomendações** Atualize para a versão 2.11.1 do Caddy ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Caddy anteriores à 2.11.1 **Descrição** O matcher de caminho de solicitação HTTP do Caddy é destinado a ser insensível a maiúsculas e minúsculas, mas quando o padrão de correspondência contém sequências de escape percentual (`%xx`), ele compara com o caminho escapado da solicitação sem converter para minúsculas. Isso pode permitir que um atacante contorne o roteamento baseado em caminho e quaisquer controles de acesso associados a essa rota ao alterar a capitalização do caminho da solicitação. O problema ocorre porque `r.URL.EscapedPath()` não é convertido para minúsculas, levando a diferenças de maiúsculas e minúsculas no caminho da solicitação, fazendo com que a correspondência do caminho escapado falhe, mesmo que o `MatchPath` seja destinado a ser insensível a maiúsculas e minúsculas. Um atacante pode contornar as restrições de rota ao alterar a capitalização do caminho da solicitação. **Recomendações** Atualize para a versão 2.11.1 do Caddy ou posterior.