Jupyter Enterprise Gateway: bypass da proteção de UID/GID via espaços em branco

Uma vulnerabilidade de segurança foi publicada para o Jupyter Enterprise Gateway. A funcionalidade de UID/GID proibidos pode ser contornada incluindo espaços em branco nos valores de KERNEL_UID ou KERNEL_GID, permitindo que kernels sejam executados como root.

Organizações que executam o Jupyter Enterprise Gateway em clusters Kubernetes (e possivelmente outros sistemas de orquestração de contêineres) que utilizam a funcionalidade EG_PROHIBITED_UIDS e EG_PROHIBITED_GIDS.

Atualize o Jupyter Enterprise Gateway para uma versão corrigida ou aplique a correção que remove espaços em branco dos valores de KERNEL_UID e KERNEL_GID antes de verificar as listas de proibição.