Minrk

**Nome do Software Vulnerável e Versões Afetadas** Versões do Jupyter Core anteriores à 5.8.0 **Descrição** O problema afeta o Jupyter Core no Windows, onde o diretório compartilhado `%PROGRAMDATA%` é pesquisado em busca de arquivos de configuração, potencialmente permitindo que usuários criem arquivos que impactem outros usuários. Isso é especificamente uma preocupação para sistemas Windows compartilhados com múltiplos usuários e um diretório `%PROGRAMDATA%` desprotegido. **Recomendações** Para versões anteriores à 5.8.0, atualize para a versão 5.8.0 ou posterior do Jupyter Core. Como administrador, modifique as permissões no diretório `%PROGRAMDATA%` para prevenir acesso de gravação não autorizado. Como administrador, crie o diretório `%PROGRAMDATA%jupyter` com permissões restritivas. Como usuário ou administrador, defina a variável de ambiente `%PROGRAMDATA%` para um diretório com permissões restritivas, como um diretório controlado por administradores ou pelo usuário atual.

**Nome do software vulnerável e versões afetadas** Versões do JupyterHub anteriores à 5.0 Versão do OAuthenticator anterior à 16.3.1 **Descrição** O problema decorre de uma alteração no JupyterHub 5.0, na qual o parâmetro `allow all` tem precedência sobre o parâmetro `identity provider` ao usar o `GlobusOAuthenticator`. Essa alteração pode fazer com que todos os usuários tenham permissão para fazer login, independentemente de seu `identity provider`, se a configuração permitir todos os usuários de uma determinada instituição. Essa é uma alteração documentada no JupyterHub 5.0, mas pode pegar muitos usuários de surpresa. **Recomendações** Para versões do JupyterHub anteriores à 5.0, considere atualizar para o OAuthenticator 16.3.1 para corrigir o problema. Para versões do OAuthenticator anteriores à 16.3.1, não atualize para o JupyterHub 5.0 ao usar `GlobusOAuthenticator` na configuração anterior. Como solução temporária, evite usar o parâmetro `allow all` em conjunto com o parâmetro `identity provider` até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do nbgitpuller anteriores à 0.10.2 **Descrição** O problema surge devido a entradas não sanitizadas, permitindo a execução de código arbitrário no ambiente do usuário ao acessar links criados com intenção maliciosa. **Recomendações** Para versões anteriores à 0.10.2, atualize para a versão 0.10.2 ou volte para a versão 0.8.x para resolver o problema. Como solução alternativa temporária para usuários que não podem atualizar, não há soluções alternativas disponíveis além de atualizar para a versão 0.10.2 ou voltar para a versão 0.8.x.

**Nome do software vulnerável e versões afetadas** Versões 0.12.0 a 0.12.1 do OAuthenticator **Descrição** A configuração obsoleta `Authenticator.whitelist` é ignorada pelas classes do OAuthenticator, fazendo com que todos os usuários autenticados tenham acesso se não houver restrições de grupo ou equipe em vigor. As restrições baseadas no provedor não são afetadas. Os usuários do OAuthenticator 0.12.0 e 0.12.1 com o JupyterHub 1.2 que utilizam a configuração `admin.whitelist.users` ou a configuração `c.Authenticator.whitelist` diretamente são afetados. Uma linha de log indicando que `allowed users` não está sendo usado pode sugerir que um sistema está afetado. **Recomendações** Para resolver o problema nas versões 0.12.0 a 0.12.1 do oauthenticator, atualize o oauthenticator para a versão 0.12.2. Como solução alternativa temporária, substitua o `c.Authenticator.whitelist = ...` (obsoleto) por `c.Authenticator.allowed users = ...`. Se algum usuário que não deveria ter sido autorizado tiver sido autorizado durante esse período, ele deve ser excluído por meio da API ou da interface de administração. No gráfico Helm do JupyterHub anterior à versão 0.10.6, a solução alternativa pode ser aplicada por meio de `hub.extraConfig`, definindo `allowedUsers` e configurando `extraConfig` para definir o campo `allowed users`.

**Name of the Vulnerable Software and Affected Versions** Jupyter Notebook versions prior to 5.7.6 **Description** A cross-site inclusion issue allows malicious pages to include resources when visited by authenticated users of a Jupyter server. This can lead to access of resource content, particularly demonstrated with Internet Explorer, where error messages can reveal the content of invalid JavaScript. **Recommendations** For versions prior to 5.7.6, update to version 5.7.6 or later to resolve the issue.