Yuki_Osaki

Nome do Software Vulnerável e Versões Afetadas: GitLab CE/EE versões 7.12 até 18.1.6 GitLab CE/EE versões 18.2 até 18.2.6 GitLab CE/EE versões 18.3 até 18.3.2 GitLab versões anteriores a 16.10.5 GitLab versões anteriores a 17.0.3 GitLab versões anteriores a 17.1.1 Descrição: Existe uma falha no GitLab CE/EE que poderia permitir que usuários não autorizados tornassem a instância do GitLab indisponível para usuários legítimos ao enviar múltiplas respostas SAML grandes simultâneas. Recomendações: Atualize o GitLab CE/EE para a versão 18.1.6 ou posterior. Atualize o GitLab CE/EE para a versão 18.2.6 ou posterior. Atualize o GitLab CE/EE para a versão 18.3.2 ou posterior. Atualize o GitLab para a versão 16.10.5 ou posterior. Atualize o GitLab para a versão 17.0.3 ou posterior. Atualize o GitLab para a versão 17.1.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Action Mailer de 3.0.0 a 6.1.7.8 Versões do Action Mailer de 7.0.0 a 7.0.8.4 Versões do Action Mailer de 7.1.0 a 7.1.4.0 Versões do Action Mailer de 7.2.0 a 7.2.1.0 **Descrição** O problema está relacionado ao helper block format no Action Mailer, que apresenta uma possível vulnerabilidade ReDoS. Essa vulnerabilidade pode fazer com que o helper block format demore um tempo inesperado ao processar texto cuidadosamente elaborado, possivelmente resultando em uma vulnerabilidade DoS. O Ruby 3.2 possui medidas de mitigação para esse problema, portanto, aplicativos Rails que utilizam Ruby 3.2 ou versões mais recentes não são afetados. **Recomendações** Para as versões 3.0.0 a 6.1.7.8 do Action Mailer, atualize para a versão 6.1.7.9 ou aplique o patch relevante imediatamente. Para as versões 7.0.0 a 7.0.8.4 do Action Mailer, atualize para a versão 7.0.8.5 ou aplique o patch relevante imediatamente. Para as versões do Action Mailer de 7.1.0 a 7.1.4.0, atualize para a versão 7.1.4.1 ou aplique o patch relevante imediatamente. Para as versões do Action Mailer de 7.2.0 a 7.2.1.0, atualize para a versão 7.2.1.1 ou aplique o patch relevante imediatamente. Como solução alternativa temporária, os usuários podem evitar chamar o helper `block format`. Os usuários também podem atualizar para o Ruby 3.2, que possui medidas de mitigação para este problema.