Sethmlarson

**Nome do Software Vulnerável e Versões Afetadas** Versões do dbt-common anteriores a 1.34.2 Versões do dbt-common anteriores a 1.37.3 **Descrição** Existe um problema de path traversal na função `safe extract()` do dbt-common ao extrair arquivos tarball. A função usa `os.path.commonprefix()` para validar caminhos de arquivos, mas esta função compara caminhos caractere por caractere em vez de por componentes de caminho. Isso permite que um tarball malicioso grave arquivos em diretórios irmãos com prefixos de nome correspondentes. Por exemplo, ao extrair para `/tmp/packages`, um tarball manipulado poderia gravar arquivos em `/tmp/packagesevil/`. A vulnerabilidade afeta usuários que instalam pacotes dbt de fontes não confiáveis ou processam arquivos tarball através dos utilitários de extração do dbt-common. A correção substitui `os.path.commonprefix()` por `os.path.commonpath()`, que compara corretamente os caminhos por seus componentes. **Recomendações** Atualize para a versão 1.34.2 ou posterior do dbt-common. Atualize para a versão 1.37.3 ou posterior do dbt-common. Instale pacotes dbt apenas de fontes confiáveis. Evite instalar pacotes de URLs não confiáveis ou terceiros não verificados. Revise o conteúdo do pacote antes da instalação ao obter de locais externos.

Nome do software vulnerável e versões afetadas: Versões do check-jsonschema anteriores à 0.30.0 Descrição: A estratégia de cache padrão no check-jsonschema usa o nome base de um esquema remoto como nome do arquivo no cache. Essa nomenclatura permite conflitos, possibilitando que um invasor insira seu próprio esquema no cache se um usuário executar o check-jsonschema contra uma URL de esquema maliciosa. Esse tipo de ataque de confusão de cache poderia ser usado para permitir que dados passem pela validação, quando deveriam ter sido rejeitados. Recomendações: Para versões anteriores à 0.30.0, os usuários podem usar o sinalizador `--no-cache` para desativar o cache. Para versões anteriores à 0.30.0, os usuários podem usar o sinalizador `--cache-filename` para selecionar nomes de arquivos a serem usados no cache ou para garantir que outros usos não sobrescrevam o esquema armazenado em cache. Para versões anteriores à 0.30.0, os usuários podem baixar explicitamente o esquema antes do uso como um arquivo local, como em `curl -LOs https://example.org/schema.json; check-jsonschema --schemafile ./schema.json` Atualize para a versão 0.30.0 para corrigir o problema.

**Name of the Vulnerable Software and Affected Versions** aiohttp versions 3.8.4 and earlier **Description** The issue is related to the handling of HTTP requests in aiohttp, which can lead to HTTP request smuggling when a crafted HTTP request is sent. This affects users of aiohttp as an HTTP server, but not those using it as an HTTP client library. The vulnerability is addressed in version 3.8.5. **Recommendations** For aiohttp versions 3.8.4 and earlier, upgrade to version 3.8.5 to resolve the issue. As a temporary workaround for users unable to upgrade, reinstall aiohttp using `AIOHTTP NO EXTENSIONS=1` as an environment variable to disable the llhttp HTTP request parser implementation.