CVE-2024-28188

Versões 1.0.0 a 1.1.5 do Jupyter Scheduler

Versão 1.2.0 do Jupyter Scheduler

Versões 1.3.0 a 1.8.1 do Jupyter Scheduler

Versões 2.0.0 a 2.5.1 do Jupyter Scheduler

O Jupyter Scheduler é um conjunto de extensões para tarefas de programação a serem executadas imediatamente ou de acordo com uma programação. A lista de ambientes Conda dos usuários do jupyter-scheduler pode ser exposta, revelando potencialmente informações sobre projetos nos quais um usuário específico possa estar trabalhando. Este problema é causado pela falta de uma verificação de autenticação no Jupyter Server no endpoint da API GET /scheduler/runtime environments, que lista os nomes dos ambientes Conda no servidor. Um usuário não autenticado pode obter a lista de nomes de ambientes Conda no servidor, revelando qualquer informação que possa estar presente no nome de um ambiente Conda.

Para as versões 1.0.0 a 1.1.5 do Jupyter Scheduler, atualize para a versão 1.1.6.

Para a versão 1.2.0 do Jupyter Scheduler, atualize para a versão 1.2.1.

Para as versões 1.3.0 a 1.8.1 do Jupyter Scheduler, atualize para a versão 1.8.2.

Para as versões 2.0.0 a 2.5.1 do Jupyter Scheduler, atualize para a versão 2.5.2.

Como solução alternativa temporária, os operadores de servidor que não conseguirem atualizar podem desativar a extensão jupyter-scheduler com o comando jupyter server extension disable jupyter-scheduler.