Kirk Lund

**Nome do software vulnerável e versões afetadas** Versões do Apache Geode até 1.12.2 e 1.13.2 **Descrição** O problema está relacionado à desserialização de dados não confiáveis ao usar JMX sobre RMI no Java 11, o que pode permitir que um invasor remoto execute código arbitrário. Essa falha afeta o serviço JMX da plataforma de gerenciamento de dados Apache Geode. Para se proteger contra ataques de deserialização envolvendo JMX ou RMI, os usuários devem atualizar para o Apache Geode 1.15, que protege automaticamente o JMX sobre RMI contra tais ataques quando usado com o Java 11. **Recomendações** Para as versões do Apache Geode até 1.12.2 e 1.13.2, atualize para o Apache Geode 1.15 para se proteger contra ataques de deserialização envolvendo JMX ou RMI. Essa atualização não deve ter impacto no desempenho, pois afeta apenas o JMX/RMI, que é usado pelo Gfsh para se comunicar com o JMX Manager hospedado em um Locator.

**Nome do software vulnerável e versões afetadas** Versões do Apache Geode anteriores à 1.15.0 **Descrição** O problema está relacionado à restauração de dados não confiáveis na memória por meio da interface REST API da plataforma de gerenciamento de dados Apache Geode. Isso pode permitir que um invasor remoto execute código arbitrário. A vulnerabilidade está associada à desserialização de dados não confiáveis ao usar a REST API no Java 8 ou Java 11. **Recomendações** Para se proteger contra ataques de deserialização envolvendo APIs REST, atualize para o Apache Geode 1.15.0 e siga a documentação para obter detalhes sobre como habilitar `validate-serializable-objects=true` e especificar quaisquer classes de usuário que possam ser serializadas/deserializadas com `serializable-object-filter`. Observe que habilitar `validate-serializable-objects` pode afetar o desempenho.

**Nome do software vulnerável e versões afetadas** Versões do Apache Geode até 1.12.5, 1.13.4 e 1.14.0 **Descrição** O problema está relacionado à desserialização de dados não confiáveis ao usar JMX sobre RMI no Java 8, o que pode permitir que um invasor remoto execute código arbitrário. Para se proteger contra ataques de deserialização envolvendo JMX ou RMI, os usuários devem atualizar para o Apache Geode 1.15 e o Java 11. Se a atualização para o Java 11 não for possível, os usuários devem atualizar para o Apache Geode 1.15 e especificar “--J=-Dgeode.enableGlobalSerialFilter=true” ao iniciar quaisquer Locators ou Servers. O uso de um filtro de serialização global afetará o desempenho. **Recomendações** Para as versões do Apache Geode até 1.12.5, 1.13.4 e 1.14.0, atualize para o Apache Geode 1.15 e o Java 11. Se não for possível atualizar para o Java 11, atualize para o Apache Geode 1.15 e especifique “--J=-Dgeode.enableGlobalSerialFilter=true” ao iniciar qualquer Locator ou Servidor. Siga a documentação para obter detalhes sobre como especificar quaisquer classes de usuário que possam ser serializadas/desserializadas com a opção de configuração “serializable-object-filter”.