CVE-2020-26250

Versões 0.12.0 a 0.12.1 do OAuthenticator

A configuração obsoleta Authenticator.whitelist é ignorada pelas classes do OAuthenticator, fazendo com que todos os usuários autenticados tenham acesso se não houver restrições de grupo ou equipe em vigor. As restrições baseadas no provedor não são afetadas. Os usuários do OAuthenticator 0.12.0 e 0.12.1 com o JupyterHub 1.2 que utilizam a configuração admin.whitelist.users ou a configuração c.Authenticator.whitelist diretamente são afetados. Uma linha de log indicando que allowed users não está sendo usado pode sugerir que um sistema está afetado.

Para resolver o problema nas versões 0.12.0 a 0.12.1 do oauthenticator, atualize o oauthenticator para a versão 0.12.2. Como solução alternativa temporária, substitua o c.Authenticator.whitelist = ... (obsoleto) por c.Authenticator.allowed users = .... Se algum usuário que não deveria ter sido autorizado tiver sido autorizado durante esse período, ele deve ser excluído por meio da API ou da interface de administração. No gráfico Helm do JupyterHub anterior à versão 0.10.6, a solução alternativa pode ser aplicada por meio de hub.extraConfig, definindo allowedUsers e configurando extraConfig para definir o campo allowed users.