Phil Pennock

**Nome do software vulnerável e versões afetadas** Versões 2 do NATS Server anteriores à 2.1.9 Versões da biblioteca JWT anteriores à 1.1.0 **Descrição** Uma conta maliciosa pode criar e assinar um JWT de usuário com um estado não gerado pelas ferramentas normais, de modo que a decodificação pela biblioteca JWT do NATS tentaria uma referência nula, interrompendo a execução. Isso pode causar uma negação de serviço devido ao encerramento do processo no servidor NATS. O problema está relacionado ao sistema de contas do NATS, no qual um operador confiável para os servidores assina contas, e cada conta pode então criar e assinar usuários dentro de sua conta. **Recomendações** Atualize o servidor NATS para a versão 2.1.9 ou posterior se estiver usando contas NATS. Atualize a dependência JWT em qualquer aplicativo que a utilize para a versão 1.1.0 ou posterior. Se seus servidores NATS não confiarem em nenhuma conta gerenciada por entidades não confiáveis, é improvável que credenciais de usuário malformadas sejam encontradas, e talvez você não precise tomar medidas imediatas. No entanto, a atualização ainda é recomendada para evitar possíveis problemas.

**Nome do software vulnerável e versões afetadas** NATS nats-server, versões 2.0.0 a 2.1.8 Biblioteca JWT, versões anteriores à 1.1.0 **Descrição** O problema está relacionado a um controle de acesso incorreto na biblioteca JWT utilizada pelo NATS nats-server, especificamente na forma como as credenciais expiradas são tratadas. As funções `IsRevoked` e `Export.IsRevoked` validam incorretamente credenciais expiradas usando a hora atual do sistema, em vez da hora de emissão do JWT. Isso faz com que a expiração de credenciais baseada no tempo não funcione. Um novo método `IsClaimRevoked` foi introduzido com o tratamento correto, e o nats-server foi atualizado para usar esse método. O método antigo `IsRevoked` agora sempre retorna true, e outros códigos de cliente deverão ser atualizados para evitar chamá-lo. **Recomendações** Para as versões 2.0.0 a 2.1.8 do NATS nats-server, atualize para a versão 2.1.9 ou posterior. Para versões da biblioteca JWT anteriores à 1.1.0, atualize a dependência JWT para a versão 1.1.0 ou posterior. Como solução temporária, considere usar credenciais que só expirem após a implantação das correções. Evite usar o método `IsRevoked` na biblioteca JWT afetada até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** nats.js versões 2.0.0-201 a 2.0.0-208 nats.ws versões 1.0.0-85 a 1.0.0-110 nats.deno versões anteriores à 1.0.0-9 **Descrição** A vulnerabilidade diz respeito a uma falha de divulgação de informações nas versões de pré-visualização do projeto NATS de dois pacotes NPM e um pacote Deno. Essa falha causa o vazamento de opções, incluindo credenciais privadas TLS, de um cliente para um servidor. O cliente nats.js suporta Mutual TLS, e as credenciais da chave do cliente TLS estão incluídas nas opções de configuração da conexão, levando à divulgação da chave privada TLS do cliente para o servidor. A maioria dos mecanismos de autenticação é tratada após a conexão e não é afetada. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi fornecido. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões 2.0.0-201 a 2.0.0-208 do nats.js, atualize para a versão 2.0.0-209 ou posterior e reemita todas as credenciais de cliente TLS com novas chaves. Para as versões 1.0.0-85 a 1.0.0-110 do nats.ws, atualize para a versão 1.0.0-111 ou posterior. Para versões do nats.deno anteriores à 1.0.0-9, atualize para a versão 1.0.0-9 ou posterior. Como solução temporária, considere desativar o Mutual TLS até que um patch esteja disponível. Restrinja o acesso a servidores não confiáveis para minimizar o risco de exploração. Evite desativar a verificação TLS para impedir o vazamento de credenciais de autenticação.

**Name of the Vulnerable Software and Affected Versions** golang.org/x/crypto/ssh versions prior to the version that includes commit e4e2799 **Description** The issue is related to the default behavior of the Go SSH library, which does not verify host keys. This facilitates man-in-the-middle attacks if the ClientConfig.HostKeyCallback is not set. The lack of host key verification allows a remote attacker to execute a man-in-the-middle attack. **Recommendations** For versions prior to the one including commit e4e2799, consider explicitly registering a hostkey verification mechanism by setting ClientConfig.HostKeyCallback to prevent man-in-the-middle attacks. As a temporary workaround, ensure that ClientConfig.HostKeyCallback is set for all SSH client configurations to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Exim versions 4.70 through 4.80 **Description** The issue is a heap-based buffer overflow in the `dkim exim query dns txt` function, which can be exploited by remote attackers to execute arbitrary code. This can occur when DKIM support is enabled and specific settings, `acl smtp connect` and `acl smtp rcpt`, are not configured to disable DKIM verification. The attack vector involves an email from a malicious DNS server. **Recommendations** For Exim versions 4.70 through 4.80, consider disabling DKIM support or setting `acl smtp connect` and `acl smtp rcpt` to "warn control = dkim disable verify" to mitigate the risk of exploitation.