Bryan Pendleton

**Nome do software vulnerável e versões afetadas** Apache DB DdlUtils versão 1.0 **Descrição** A classe BinaryObjectsHelper no Apache DB DdlUtils apresentava uma falha de segurança e utilizava `ObjectInputStream.readObject` sem validar os dados de entrada, tornando a deserialização insegura. Essa classe foi criada para a migração de dados de banco de dados com tipos binários SQL entre bancos de dados. O projeto DdlUtils não está mais em desenvolvimento ativo. Foram feitas alterações para corrigir a falha de segurança, incluindo a remoção da classe BinaryObjectsHelper e da versão ddlutils-1.0 da distribuição. **Recomendações** Para o Apache DB DdlUtils versão 1.0, as seguintes alterações foram feitas para corrigir o problema: 1. O arquivo BinaryObjectsHelper.java foi excluído do repositório de código-fonte do DdlUtils. 2. A versão ddlutils-1.0 foi removida da Infraestrutura de Distribuição de Versões do Apache. 3. O site do DdlUtils foi atualizado para indicar que o DdlUtils agora está disponível apenas como código-fonte, e não como uma versão empacotada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.