PT-2020-16385 · Jupyterhub+1 · Jupyterhub-Systemdspawner+1
Publicado
2020-12-09
·
Atualizado
2020-12-11
·
CVE-2020-26261
CVSS v3.1
7.9
Alta
| Vetor | AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do jupyterhub-systemdspawner anteriores à 0.15
Descrição
O jupyterhub-systemdspawner permite que o JupyterHub gere servidores de notebook para um único usuário usando o systemd. No jupyterhub-systemdspawner, os tokens de API de usuário emitidos para servidores de um único usuário são especificados no ambiente das unidades do systemd. Esses tokens estão incorretamente acessíveis a todos os usuários. Em particular, o the-littlest-jupyterhub é afetado, pois usa o systemdspawner por padrão.
Recomendações
Para versões anteriores à 0.15, atualize o jupyterhub-systemdspawner para a versão 0.15 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao ambiente das unidades do systemd até que um patch esteja disponível.
Não há outras soluções alternativas disponíveis além de atualizar o systemdspawner para a versão 0.15.
Correção
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jupyterhub-Systemdspawner
Systemd