Bengt Jonsson

**Nome do software vulnerável e versões afetadas** Versões 11.0.6 e 14 do Java SE **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente JSSE do Java SE, permitindo que um invasor não autenticado com acesso à rede via HTTPS comprometa o Java SE. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Java SE, bem como acesso de leitura não autorizado a um subconjunto dos dados acessíveis do Java SE. Esse problema pode ser explorado por meio de aplicativos Java Web Start em sandbox, applets Java em sandbox ou fornecendo dados a APIs no componente especificado sem usar aplicativos ou applets em sandbox. **Recomendações** Para o Java SE versão 11.0.6, atualize para uma versão que inclua a correção para este problema. Para o Java SE versão 14, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente JSSE até que um patch esteja disponível. Evite usar o componente JSSE para operações confidenciais até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões 11.0.5 e 13.0.1 do Java SE **Descrição** O problema está relacionado a uma vulnerabilidade no componente Java Secure Socket Extension (JSSE) do Oracle Java SE, que é difícil de explorar e permite que um invasor não autenticado com acesso à rede via HTTPS comprometa o Java SE. Isso pode resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Java SE, bem como acesso de leitura não autorizado a um subconjunto dos dados acessíveis do Java SE. A vulnerabilidade se aplica a implantações do Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada usando APIs no componente especificado. **Recomendações** Para o Java SE versão 11.0.5, atualize para uma versão que contenha uma correção para este problema. Para o Java SE versão 13.0.1, atualize para uma versão que contenha uma correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente JSSE até que um patch esteja disponível. Evite usar o componente JSSE para autenticação de clientes até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Oracle Solaris versão 11 **Descrição** O problema está relacionado a um controle de acesso inadequado no componente Consolidation Infrastructure do Oracle Solaris, permitindo que um invasor com privilégios limitados e acesso de logon à infraestrutura comprometa o Oracle Solaris. Ataques bem-sucedidos exigem a interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos, resultando potencialmente na tomada de controle do Oracle Solaris. **Recomendações** Para o Oracle Solaris versão 11, considere restringir o acesso ao componente Consolidation Infrastructure para minimizar o risco de exploração até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Ruby versions 2.4.7 and earlier, 2.5.x through 2.5.6, and 2.6.x through 2.6.4 **Description** The issue allows code injection if the first argument to `Shell#[]` or `Shell#test` in lib/shell.rb is untrusted data. An attacker can exploit this to call an arbitrary Ruby method. This is due to incorrect neutralization of special elements in output used by an incoming component. **Recommendations** For Ruby versions 2.4.7 and earlier, update to version 2.4.8. For Ruby versions 2.5.x through 2.5.6, update to version 2.5.7. For Ruby versions 2.6.x through 2.6.4, update to version 2.6.5. As a temporary workaround, consider validating and sanitizing the first argument to `Shell#[]` and `Shell#test` to prevent code injection.