Mmastrac

**Name of the Vulnerable Software and Affected Versions** rust-openssl versions prior to 0.10.70 **Description** The issue arises when `ssl::select next proto` returns a slice pointing into the `server` argument's buffer but with a lifetime bound to the `client` argument. If the `server` buffer's lifetime is shorter than the `client` buffer's, this can cause a use after free, potentially leading to the server crashing or returning arbitrary memory contents to the client. The function `ssl::select next proto` is typically used in the callback passed to `SslContextBuilder::set alpn select callback`. Code is only affected if the `server` buffer is constructed within the callback. **Recommendations** To resolve the issue, update to version 0.10.70 or later of the `openssl` crate, which fixes the signature of `ssl::select next proto` to properly constrain the output buffer's lifetime to that of both input buffers. For versions prior to 0.10.70, ensure that the `server` buffer outlives the handshake or has a static lifetime to avoid the use after free issue.

**Nome do software vulnerável e versões afetadas** Versões do Deno anteriores à 1.43 **Descrição** A sandbox do Deno pode ser enfraquecida inesperadamente ao permitir acesso de leitura/gravação a arquivos privilegiados em vários locais nas plataformas Unix e Windows. Por exemplo, a leitura de `/proc/self/environ` pode fornecer acesso equivalente a `--allow-env`, e a gravação em `/proc/self/mem` pode fornecer acesso equivalente a `--allow-all`. Os usuários que concedem acesso de leitura e gravação a todo o sistema de arquivos podem não perceber que esses acessos a esses arquivos podem ter consequências adicionais e indesejadas. **Recomendações** Para versões do Deno anteriores à 1.43, considere adicionar sinalizadores de negação explícitos para restringir o acesso a arquivos confidenciais, tais como `--deny-read=/dev`, `--deny-read=/sys`, `--deny-read=/proc`, `--deny-read=/etc`, `--deny-write=/dev`, `--deny-write=/sys`, `--deny-write=/proc` e `--deny-write=/etc`. Observe que links simbólicos em locais permitidos podem anular essa proteção em versões anteriores do Deno. Para o Deno 1.43 e versões posteriores, certifique-se de que o acesso explícito `--allow-all` seja necessário para ler ou gravar em `/etc`, `/dev` em plataformas Unix, bem como em `/proc` e `/sys` em plataformas Linux, e em qualquer caminho que comece com `` no Windows.

**Nome do software vulnerável e versões afetadas** Versões do Deno 1.35.1 a 1.36.2 **Descrição** Uma vulnerabilidade no ambiente de execução de compatibilidade com Node.js do Deno permite a contaminação de dados entre sessões durante leituras assíncronas simultâneas de fluxos do Node.js provenientes de soquetes ou arquivos. Este problema decorre da reutilização de um buffer global (`BUF`) em `stream wrap.ts`, usado como otimização de desempenho para limitar alocações durante essas operações de leitura assíncrona. A vulnerabilidade pode levar a que dados destinados a uma sessão sejam recebidos por outra sessão, resultando potencialmente em corrupção de dados e comportamento inesperado. Isso afeta todos os usuários do Deno que utilizam a camada de compatibilidade com o Node.js para comunicação de rede ou outros fluxos, incluindo pacotes que possam exigir bibliotecas do Node.js indiretamente. **Recomendações** Para as versões 1.35.1 a 1.36.2 do Deno, atualize para a versão 1.36.3 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso de fluxos do Node.js originados de soquetes ou arquivos até que um patch seja aplicado. Restrinja o acesso ao módulo `stream wrap.ts` para minimizar o risco de exploração. Evite usar a API `net.Stream` conectada a servidores remotos, como bancos de dados ou armazenamentos de chave/valor, até que o problema seja resolvido.