Yuvipanda

**Nome do software vulnerável e versões afetadas** Versões do Jupyter Server Proxy anteriores à 3.2.3 Versões do Jupyter Server Proxy anteriores à 4.1.1 **Descrição** O problema está relacionado à falta de autenticação adequada do usuário ao fazer proxy de websockets no Jupyter Server Proxy. Isso permite o acesso não autenticado a qualquer pessoa com acesso à rede ao endpoint do servidor Jupyter, podendo levar à execução remota de código arbitrário não autenticado. A vulnerabilidade afeta projetos que dependem de websockets, mas não aqueles que não usam websockets ou os endpoints de websocket expostos pelo próprio `jupyter server`. **Recomendações** Para versões do Jupyter Server Proxy anteriores à 3.2.3, atualize para a versão 3.2.3 ou posterior. Para versões do Jupyter Server Proxy anteriores à 4.1.1, atualize para a versão 4.1.1 ou posterior. Como solução temporária, considere restringir o acesso aos endpoints de websocket vulneráveis até que um patch seja aplicado. Para administradores do JupyterHub, siga as etapas fornecidas para verificar e corrigir a vulnerabilidade nos servidores de usuários e considere encerrar os servidores de usuários atualmente em execução que ainda possam estar vulneráveis.

**Nome do software vulnerável e versões afetadas** Versões do CILogonOAuthenticator anteriores à 15.0.0 **Descrição** O problema diz respeito ao mecanismo de autorização no CILogonOAuthenticator, que é usado para restringir o acesso a um JupyterHub com base na instituição do usuário. A característica de configuração `allowed idps` tem como objetivo listar os domínios das instituições autorizadas, mas verifica apenas o endereço de e-mail fornecido pelo CILogon, e não o provedor de identidade utilizado. Isso significa que um usuário pode acessar o JupyterHub com uma conta do GitHub cujo endereço de e-mail corresponda ao domínio autorizado, mesmo que seu acesso ao provedor de identidade da instituição tenha sido revogado. O patch para este problema altera a forma como `allowed idps` é interpretado, exigindo agora o `EntityID` dos provedores de identidade permitidos. **Recomendações** Para versões anteriores à 15.0.0, atualize para a versão 15.0.0 ou superior e atualize a configuração `allowed idps` para usar o `EntityID` dos provedores de identidade permitidos, conforme especificado na documentação de migração. Como solução alternativa temporária, considere restringir o acesso ao JupyterHub até que o patch possa ser aplicado.