CVE-2024-23656

Dex versão 2.37.0

O Dex é um serviço de identidade que utiliza o OpenID Connect para realizar a autenticação em outros aplicativos. O problema decorre do fato de o Dex servir HTTPS com TLS 1.0 e TLS 1.1, que não são seguros. O tlsConfig é ignorado após a introdução do “recarregador de certificados TLS” na versão 2.37.0, fazendo com que os conjuntos de criptografia configurados não sejam respeitados. Isso permite que conexões TLS 1.0 e TLS 1.1 sejam descriptografadas por um invasor, expondo potencialmente o tráfego para o Dex. O problema foi corrigido na versão 2.38.0 do Dex.

Para a versão 2.37.0 do Dex, atualize para a versão 2.38.0 para resolver o problema. Como solução temporária, considere desativar o uso de TLS 1.0 e TLS 1.1 até que um patch esteja disponível. Restrinja o acesso ao módulo vulnerável cmd/dex/serve.go para minimizar o risco de exploração. Evite usar conjuntos de criptografia inseguros nos pontos de extremidade da API afetados até que o problema seja resolvido.