Mark Denihan

**Nome do software vulnerável e versões afetadas: Apache Cassandra versões 2.1.0 a 2.1.22 Apache Cassandra versões 2.2.0 a 2.2.19 Apache Cassandra versões 3.0.0 a 3.0.23 Apache Cassandra versões 3.11.0 a 3.11.9 Descrição: A vulnerabilidade permite conexões entre nós tanto criptografadas quanto não criptografadas ao usar a configuração ‘dc’ ou ‘rack’ para internode encryption. Um nó mal configurado ou um usuário mal-intencionado pode usar a conexão não criptografada mesmo não estando no mesmo rack ou dc, contornando assim a exigência de TLS mútuo. Recomendações: Para as versões 2.1.0 a 2.1.22 do Apache Cassandra, atualize a configuração internode encryption para permitir apenas conexões criptografadas. Para as versões 2.2.0 a 2.2.19 do Apache Cassandra, atualize a configuração internode encryption para permitir apenas conexões criptografadas. Para as versões 3.0.0 a 3.0.23 do Apache Cassandra, atualize a configuração internode encryption para permitir apenas conexões criptografadas. Para as versões 3.11.0 a 3.11.9 do Apache Cassandra, atualize a configuração internode encryption para permitir apenas conexões criptografadas. Como solução alternativa temporária, considere restringir o acesso às conexões entre nós para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** org.codehaus.jackson:jackson-mapper-asl versions 1.9.x **Description** A flaw was found in the org.codehaus.jackson:jackson-mapper-asl library, related to incorrect restriction of XML external entity references. This issue is similar to previously identified vulnerabilities and can be exploited by a remote attacker to impact data integrity. **Recommendations** For org.codehaus.jackson:jackson-mapper-asl version 1.9.x, at the moment, there is no information about a newer version that contains a fix for this vulnerability.