Alex Chernyakhovsky

**Nome do software vulnerável e versões afetadas** Versões do OpenSSL 1.1.1 a 1.1.1p Versões do OpenSSL 3.0.0 a 3.0.4 Versões do MySQL Server 5.7.39 e anteriores Versões do MySQL Server 8.0.30 e anteriores **Descrição** O modo OCB do AES para plataformas x86 de 32 bits que utilizam a implementação otimizada em assembly AES-NI não criptografa a totalidade dos dados em algumas circunstâncias, podendo revelar dezesseis bytes de dados pré-existentes na memória que não foram gravados. No caso específico da criptografia “in place”, dezesseis bytes do texto simples podem ser revelados. Como o OpenSSL não suporta conjuntos de chaves baseados em OCB para TLS e DTLS, ambos não são afetados. **Recomendações** Para as versões 1.1.1 a 1.1.1p do OpenSSL, atualize para a versão 1.1.1q. Para as versões 3.0.0 a 3.0.4 do OpenSSL, atualize para a versão 3.0.5. Para as versões 5.7.39 e anteriores do MySQL Server, atualize para uma versão posterior à 5.7.39. Para as versões 8.0.30 e anteriores do MySQL Server, atualize para uma versão posterior à 8.0.30. Como solução temporária, considere desativar o modo AES OCB para plataformas x86 de 32 bits usando a implementação otimizada de montagem AES-NI até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** OpenAFS versions prior to 1.4.15 OpenAFS versions 1.6.x prior to 1.6.5 OpenAFS versions 1.7.x prior to 1.7.26 **Description** The issue is related to the use of weak encryption, specifically DES, for Kerberos keys in OpenAFS. This weakness makes it easier for remote attackers to obtain the service key, potentially leading to breaches of confidentiality, integrity, and availability of protected information. The exploitation of these weaknesses can be done remotely. **Recommendations** For OpenAFS versions prior to 1.4.15, update to version 1.4.15 or later. For OpenAFS versions 1.6.x prior to 1.6.5, update to version 1.6.5 or later. For OpenAFS versions 1.7.x prior to 1.7.26, update to version 1.7.26 or later.