Vulnerabilità: CVE-2020-26250

OAuthenticator è un meccanismo di accesso OAuth per JupyterHub. In oauthenticator dalla versione 0.12.0 e prima 0.12.2, il obsoleta (in jupyterhub 1.2) configurazione `Authenticator.whitelist`, che dovrebbe essere trasparente mappato` Authenticator.allowed_users` con un avvertimento, viene invece ignorato da classi OAuthenticator, risultante nello stesso comportamento se questa configurazione non è stato impostato. Se questo è l’unico meccanismo di limitazione di autorizzazione (vale a dire nessun gruppo o restrizioni squadra in configurazione), quindi tutti gli utenti autenticati sarà consentito. restrizioni Provider-based, inclusi i valori obsoleti, come `GitHubOAuthenticator.org_whitelist` sono ** non ** influenzata. Tutti gli utenti di OAuthenticator 0.12.0 e 0.12.1 con JupyterHub 1.2 (JupyterHub tabella Helm 0.10.0-0.10.5) che utilizzano la configurazione `admin.whitelist.users` nel grafico jupyterhub timone o il` c.Authenticator.whitelist `configurazione direttamente. Gli utenti di altre configurazioni obsoleto, ad esempio `C.GitHubOAuthenticator.team_whitelist` sono ** non ** influenzato. Se si vede una linea di registro come questo e si aspettano un elenco specifico di nomi utente consentiti: ""[I 2020/11/27 16: 51: 54,528 JupyterHub app: 1717].. Non usando allowed_users Qualsiasi utente autenticato sarà consentito"" si sono probabilmente interessati. Si raccomanda l’aggiornamento oauthenticator a 0.12.2. Una soluzione è quella di sostituire il deprecato `c.Authenticator.whitelist = …` `con c.Authenticator.allowed_users = …`. Se tutti gli utenti sono stati autorizzati durante questo tempo che non avrebbe dovuto essere, devono essere eliminati tramite l’interfaccia API o di amministrazione, per la documentazione di riferimento.


https://github.com/jupyterhub/oauthenticator/security/advisories/GHSA-384w-5v3f-q499
https://github.com/jupyterhub/oauthenticator/security/advisories/GHSA-384w-5v3f-q499
https://github.com/jupyterhub/oauthenticator/blob/master/docs/source/changelog.md#0122—2020-11-30
https://github.com/jupyterhub/oauthenticator/blob/master/docs/source/changelog.md#0122—2020-11-30
https://github.com/jupyterhub/oauthenticator/commit/a4aac191c16cf6281f3d346615aefa75702b02d7
https://github.com/jupyterhub/oauthenticator/commit/a4aac191c16cf6281f3d346615aefa75702b02d7
https://jupyterhub.readthedocs.io/en/1.2.2/getting-started/authenticators-users-basics.html#add-or-remove-users-from-the-hub
https://jupyterhub.readthedocs.io/en/1.2.2/getting-started/authenticators-users-basics.html#add-or-remove-users-from-the-hub
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26250


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi