Travisgroth

**Nome do software vulnerável e versões afetadas** Versões do Pomerium anteriores à v0.17.1 **Descrição** O Pomerium é um proxy de acesso com reconhecimento de identidade. No modo de serviço distribuído, o serviço de autenticação do Pomerium expõe os manipuladores de métricas `pprof` (depuração) e `prometheus` ao tráfego não confiável. Isso pode causar o vazamento de informações ambientais potencialmente confidenciais ou levar a condições limitadas de negação de serviço. **Recomendações** Para versões anteriores à v0.17.1, atualize para a versão v0.17.1 para resolver o problema. Como solução alternativa temporária, considere bloquear o acesso aos caminhos `/debug` e `/metrics` no serviço de autenticação. Isso pode ser feito com qualquer proxy L7, incluindo o próprio serviço de proxy do Pomerium.

**Nome do software vulnerável e versões afetadas** Versões do Pomerium anteriores à 0.15.6 **Descrição** O Pomerium é um proxy de acesso com reconhecimento de identidade de código aberto. Alterações nas reivindicações OIDC de um usuário após o login inicial não são refletidas na avaliação da política quando se usa `allowed idp claims` como parte da política. Se estiver usando `allowed idp claims` e as reivindicações de um usuário forem alteradas, o Pomerium pode tomar decisões de autorização incorretas. **Recomendações** Para versões anteriores à 0.15.6, atualize para a versão 0.15.6 para resolver o problema. Como solução alternativa temporária para usuários que não podem atualizar, limpe os dados no serviço `databroker` limpando o Redis ou reiniciando o databroker na memória para forçar a atualização das reivindicações.

**Nome do software vulnerável e versões afetadas** Versões do Pomerium anteriores à 0.15.1 **Descrição** O Pomerium, um proxy de acesso com reconhecimento de identidade de código aberto baseado no Envoy, pode encerrar-se de forma anormal se um quadro H/2 GOAWAY e um quadro SETTINGS forem recebidos no mesmo evento de E/S. Isso pode levar a uma Negação de Serviço (DoS) na presença de servidores upstream não confiáveis. Se apenas servidores upstream confiáveis estiverem configurados, não há risco substancial de que essa condição seja acionada. **Recomendações** Para versões anteriores à 0.15.1, atualize para a versão 0.15.1, que contém um binário Envoy atualizado com esta correção. Se apenas servidores upstream confiáveis estiverem configurados, não há risco substancial de que essa condição seja acionada, mas ainda assim é recomendável atualizar para a versão 0.15.1 para obter segurança máxima.

**Nome do software vulnerável e versões afetadas** Versões do Pomerium anteriores à 0.14.8 Versões do Pomerium anteriores à 0.15.1 **Descrição** O problema decorre do fato de o Envoy, no qual o Pomerium se baseia, lidar incorretamente com a reinicialização de fluxos HTTP/2, utilizando uma complexidade excessiva. Isso pode levar a uma alta utilização da CPU quando um grande número de fluxos é reiniciado, resultando em uma condição de DoS. **Recomendações** Para versões anteriores à 0.14.8, atualize para a versão 0.14.8 ou posterior para resolver o problema. Para versões anteriores à 0.15.1, atualize para a versão 0.15.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Pomerium anteriores à 0.13.4 **Descrição** A vulnerabilidade permite que um invasor externo obtenha uma URL de login assinada que, ao ser acessada, redireciona a vítima para o site do invasor, criando um problema de redirecionamento aberto e podendo levar ao vazamento do JWT. Com um JWT vazado, o invasor pode revelar a identidade da vítima, como seu endereço de e-mail, fornecendo o JWT ao serviço de autenticação. Além disso, se um aplicativo que integra o Pomerium verificar apenas a reivindicação `iss` e não a reivindicação `aud`, o invasor poderá acessá-lo como se fosse a vítima. **Recomendações** Para versões anteriores à 0.13.4, atualize para a versão 0.13.4 ou posterior do Pomerium para resolver o problema. Como solução alternativa temporária, considere restringir o acesso programático em sites protegidos para minimizar o risco de exploração. Evite usar o parâmetro `pomerium redirect uri` no endpoint da API afetado até que o problema seja resolvido.