David Hook

**Nome do software vulnerável e versões afetadas** API TLS do Bouncy Castle para Java e provedor JSSE em versões anteriores à 1.78 **Descrição** Um problema pode causar vazamento baseado em tempo em handshakes baseados em RSA devido ao processamento de exceções. **Recomendações** Para versões anteriores à 1.78, atualize para a versão 1.78 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** API de criptografia Java do Bouncy Castle, versões anteriores à 1.78 **Descrição** Foi detectada uma falha nas APIs de criptografia Java do Bouncy Castle. Quando a identificação de endpoint está habilitada no BCJSSE e um soquete SSL é criado sem um nome de host explícito, a verificação do nome de host pode ser realizada com base em um endereço IP resolvido pelo DNS em algumas situações. Isso abre a possibilidade de envenenamento de DNS. **Recomendações** Para versões anteriores à 1.78, atualize para a versão 1.78 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar a identificação de endpoint no BCJSSE para minimizar o risco de exploração. Restrinja o acesso a soquetes SSL criados sem um nome de host explícito para evitar possíveis ataques de envenenamento de DNS.

Nome do software vulnerável e versões afetadas: Bouncy Castle Java (BC Java) versões 1.78 e anteriores Bouncy Castle Java LTS (BC Java LTS) versões 2.73.6 e anteriores Bouncy Castle FIPS Java API (BC-FJA) versões 1.0.2.5 e anteriores Bouncy Castle C# .Net versões 2.3.1 e anteriores Bamboo Data Center e Server versões anteriores a 9.2.14, 9.5.4 e 9.6.2 Confluence Data Center e Server versões anteriores a 7.19.26, 8.5.12, 8.9.4 e 9.0.1 Descrição: Foi descoberta uma vulnerabilidade nos arquivos ECCurve.java e ECCurve.cs, que pode levar a um consumo excessivo de CPU durante a avaliação dos parâmetros da curva ao importar um certificado EC com parâmetros F2m manipulados. Isso pode permitir que um invasor não autenticado exponha ativos no ambiente suscetíveis a exploração, sem impacto na confidencialidade, sem impacto na integridade e com alto impacto na disponibilidade, sem exigir interação do usuário. Recomendações: Para as versões 1.78 e anteriores do Bouncy Castle Java (BC Java), atualize para a versão 1.78 ou posterior. Para as versões 2.73.6 e anteriores do Bouncy Castle Java LTS (BC Java LTS), atualize para a versão 2.73.6 ou posterior. Para as versões 1.0.2.5 e anteriores do Bouncy Castle FIPS Java API (BC-FJA), atualize para a versão 1.0.2.5 ou posterior. Para as versões 2.3.1 e anteriores do Bouncy Castle C# .Net, atualize para a versão 2.3.1 ou posterior. Para o Bamboo Data Center e Server em versões anteriores a 9.2.14, 9.5.4 e 9.6.2, atualize para uma versão igual ou superior a 9.2.14, 9.5.4 ou 9.6.2. Para o Confluence Data Center e Server