Nervuri

**Name of the Vulnerable Software and Affected Versions** App Lounge versions prior to 0.19q **Description** The issue arises from improper verification of applications' cryptographic signatures in the App Lounge client. This allows attackers who control the application server to install malicious applications on users' systems by altering the server's API response. **Recommendations** For versions prior to 0.19q, update to version 0.19q or later to resolve the issue. As a temporary workaround, consider restricting access to the App Lounge client until the update is applied.

**Nome do software vulnerável e versões afetadas** Versões do Go anteriores à 1.17.11 Versões do Go anteriores à 1.18.3 **Descrição** O problema está relacionado ao uso de valores não aleatórios para `ticket age add` em tickets de sessão no pacote crypto/tls. Isso permite que um invasor capaz de observar handshakes TLS correlacione conexões sucessivas comparando as idades dos tickets durante a retomada da sessão, o que pode levar ao acesso não autorizado a identificadores de sessão. Um invasor pode explorar isso para correlacionar uma sessão TLS retomada com uma conexão anterior. **Recomendações** Para versões do Go anteriores à 1.17.11, atualize para a versão 1.17.11 ou posterior. Para versões do Go anteriores à 1.18.3, atualize para a versão 1.18.3 ou posterior. Como solução temporária, considere restringir o acesso ao pacote `crypto/tls` até que um patch esteja disponível.