Woodruffw

Nome do Software Vulnerável e Versões Afetadas: rfc3161-client versões anteriores à 1.0.3 Descrição: O problema está relacionado a uma falha na lógica de verificação de assinatura da resposta de carimbo de tempo. Especificamente, a verificação da cadeia é realizada em relação aos certificados embutidos do TSR até a(s) raiz(es) confiável(eis), mas falha ao verificar a própria assinatura do TSR contra os certificados folha de carimbo de tempo. Isso permite que um atacante introduza qualquer assinatura TSR, desde que o certificado folha embutido encadeie até alguma TSA raiz, resultando em validação de assinatura insuficiente. Recomendações: Para versões anteriores à 1.0.3, atualize para a versão 1.0.3 para resolver o problema. Como solução alternativa temporária, considere restringir o uso da lógica de verificação de assinatura da resposta de carimbo de tempo até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do step-security/harden-runner anteriores à v2.10.2 **Descrição** A vulnerabilidade diz respeito a falhas de injeção de comando por meio de variáveis de ambiente no step-security/harden-runner. Essas falhas poderiam ser potencialmente exploradas sob condições específicas. No entanto, devido à ordem de execução atual das etapas preliminares no GitHub Actions e à colocação do harden-runner como a primeira etapa de um trabalho, a probabilidade de exploração é baixa. Não há exploits conhecidos no momento. As vulnerabilidades foram encontradas em várias áreas, incluindo o uso de `execSync` com variáveis interpoladas, como `process.env.USER` e `$USER`, que um invasor poderia modificar para injetar expressões de shell arbitrárias. Além disso, a expansão de `getRunnerTempDir()` pode ser injetável devido à sua dependência de variáveis de ambiente potencialmente controláveis pelo invasor, como `RUNNER TEMP`. **Recomendações** Para versões anteriores à v2.10.2, atualize para a versão 2.10.2, que contém um patch para as vulnerabilidades de injeção de comando. Como solução temporária, considere restringir a modificação de variáveis de ambiente, como `USER` e `RUNNER TEMP`, para minimizar o risco de exploração. Além disso, considere substituir o uso de `execSync` por `execFileSync` ou similar para contornar a avaliação do shell e reduzir o risco de injeção de comando.

**Nome do software vulnerável e versões afetadas** Versões do py até a 1.11.0 **Descrição** A biblioteca py permite que invasores remotos realizem um ataque ReDoS (Negação de Serviço por Expressão Regular) por meio de um repositório Subversion com dados `info` manipulados, devido a um tratamento incorreto do argumento `InfoSvnCommand`. Este problema está relacionado à expressão regular em `py. path.svnurl.InfoSvnCommand.lspattern` e é relevante apenas ao lidar com projetos Subversion (svn). Observe que este problema foi contestado por vários terceiros como não sendo reproduzível, e eles argumentam que não se trata de uma vulnerabilidade válida. **Recomendações** Para versões do py até a 1.11.0, considere atualizar para uma versão de um pacote dependente, como o pytest, que remova sua dependência da versão vulnerável do py; por exemplo, atualize para a versão 7.2.0 do pytest. No momento, não há informações sobre uma versão mais recente do py que contenha uma correção para este problema.