Markus Loewe

**Name of the Vulnerable Software and Affected Versions** Oracle Java SE versions 8u351, 8u351-perf, 11.0.17, 17.0.5, 19.0.1 Oracle GraalVM Enterprise Edition versions 20.3.8, 21.3.4, 22.3.0 **Description** A difficult to exploit vulnerability in the Oracle Java SE and Oracle GraalVM Enterprise Edition allows an unauthenticated attacker with network access via multiple protocols to compromise the system. Successful attacks can result in unauthorized update, insert, or delete access to some accessible data. This vulnerability applies to Java deployments in clients running sandboxed Java Web Start applications or sandboxed Java applets that load and run untrusted code and rely on the Java sandbox for security. **Recommendations** For Oracle Java SE versions 8u351, 8u351-perf, 11.0.17, 17.0.5, 19.0.1, consider disabling the Sound component until a patch is available. For Oracle GraalVM Enterprise Edition versions 20.3.8, 21.3.4, 22.3.0, consider disabling the Sound component until a patch is available. As a temporary workaround, restrict access to the Sound component to minimize the risk of exploitation. Avoid using the affected Oracle Java SE and Oracle GraalVM Enterprise Edition versions in clients that load and run untrusted code. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Oracle Java SE versões 7u331, 8u321, 11.0.14, 17.0.2, 18 Oracle GraalVM Enterprise Edition versões 20.3.5, 21.3.1, 22.0.0.2 **Descrição** O problema está relacionado a um invasor não autenticado com acesso à rede por meio de vários protocolos, capaz de comprometer o Oracle Java SE e o Oracle GraalVM Enterprise Edition, resultando em uma negação parcial de serviço. Essa vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada usando APIs no componente especificado, por exemplo, por meio de um serviço web que fornece dados às APIs. **Recomendações** Para as versões 7u331, 8u321, 11.0.14, 17.0.2 e 18 do Oracle Java SE, atualize para uma versão que contenha a correção para este problema. Para as versões 20.3.5, 21.3.1 e 22.0.0.2 do Oracle GraalVM Enterprise Edition, atualize para uma versão que contenha a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente Libraries vulnerável até que um patch esteja disponível. Evite usar APIs no componente especificado, por exemplo, por meio de um serviço web, até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Oracle Java SE versões 7u321, 8u311, 11.0.13, 17.0.1 Oracle GraalVM Enterprise Edition versões 20.3.4, 21.3.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Libraries do Oracle Java SE e do Oracle GraalVM Enterprise Edition. Isso permite que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa o sistema, resultando em uma negação parcial de serviço. A vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada por meio de APIs no componente especificado. **Recomendações** Para as versões 7u321, 8u311, 11.0.13 e 17.0.1 do Oracle Java SE, atualize para uma versão que inclua a correção para este problema. Para as versões 20.3.4 e 21.3.0 do Oracle GraalVM Enterprise Edition, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente Libraries vulnerável até que um patch esteja disponível. Evite usar APIs no componente especificado que forneçam dados a fontes não confiáveis até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Oracle Java SE versões 7u321, 8u311, 11.0.13, 17.0.1 Oracle GraalVM Enterprise Edition versões 20.3.4 e 21.3.0 **Descrição** O problema está relacionado a uma vulnerabilidade facilmente explorável no componente Libraries do Oracle Java SE e do Oracle GraalVM Enterprise Edition, permitindo que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa o sistema. Isso pode resultar em uma negação parcial de serviço. A vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada por meio de APIs no componente especificado. **Recomendações** Para as versões 7u321, 8u311, 11.0.13 e 17.0.1 do Oracle Java SE, atualize para uma versão que inclua a correção para este problema. Para as versões 20.3.4 e 21.3.0 do Oracle GraalVM Enterprise Edition, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente Bibliotecas até que um patch esteja disponível. Evite usar APIs no componente especificado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões 7u311, 8u301, 11.0.12 e 17 do Java SE Versões 20.3.3 e 21.2.0 do Oracle GraalVM Enterprise Edition **Descrição** O problema está relacionado a uma vulnerabilidade não especificada no componente Utility do Java SE e do Oracle GraalVM Enterprise Edition. Essa vulnerabilidade pode ser explorada por um invasor não autenticado com acesso à rede por meio de vários protocolos, permitindo que ele comprometa o Java SE e o Oracle GraalVM Enterprise Edition. Ataques bem-sucedidos podem resultar em uma negação parcial de serviço. A vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada por meio de APIs no componente especificado. **Recomendações** Para as versões 7u311, 8u301, 11.0.12 e 17 do Java SE, atualize para uma versão que inclua a correção para este problema. Para as versões 20.3.3 e 21.2.0 do Oracle GraalVM Enterprise Edition, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente Utility até que um patch esteja disponível. Evite usar APIs no componente especificado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões 8.0.25 e anteriores do MySQL Server **Descrição** O problema está relacionado a erros na liberação de recursos no produto MySQL Server, especificamente no componente Server: DML. Isso permite que um invasor com privilégios elevados e acesso à rede por meio de vários protocolos comprometa o MySQL Server. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou uma falha repetitiva (DOS completo) do MySQL Server. **Recomendações** Para as versões 8.0.25 e anteriores, atualize para uma versão posterior à 8.0.25 para resolver o problema. No momento, não há informações sobre outras medidas de mitigação específicas para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 7u291, 8u281, 11.0.10 e 16 do Java SE Versão 8u281 do Java SE Embedded Versões 19.3.5, 20.3.1.2 e 21.0.0.2 do Oracle GraalVM Enterprise Edition **Descrição** A vulnerabilidade permite que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa o Java SE, o Java SE Embedded e o Oracle GraalVM Enterprise Edition. Ataques bem-sucedidos podem resultar na criação, exclusão ou modificação não autorizadas de dados críticos ou de todos os dados acessíveis. Esta vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada fornecendo dados não confiáveis às APIs no componente especificado. **Recomendações** Para as versões 7u291, 8u281, 11.0.10 e 16 do Java SE, atualize para uma versão que inclua a correção para esta vulnerabilidade. Para a versão 8u281 do Java SE Embedded, atualize para uma versão que inclua a correção para este problema. Para as versões 19.3.5, 20.3.1.2 e 21.0.0.2 do Oracle GraalVM Enterprise Edition, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso às APIs no componente especificado para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões 7u271, 8u261, 11.0.8 e 15 do Java SE Versão 8u261 do Java SE Embedded **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Libraries do Java SE e do Java SE Embedded. Isso permite que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa o Java SE e o Java SE Embedded. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis. Este problema se aplica a implantações de Java em clientes que executam aplicativos Java Web Start em sandbox ou miniaplicativos Java em sandbox que carregam e executam código não confiável e dependem da sandbox do Java para segurança. **Recomendações** Para as versões 7u271, 8u261, 11.0.8 e 15 do Java SE, atualize para uma versão que inclua a correção para este problema. Para a versão 8u261 do Java SE Embedded, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente Libraries até que um patch esteja disponível. Evite usar o componente vulnerável nos pontos de extremidade da API afetados até que o problema seja resolvido. Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões 7u271, 8u261, 11.0.8 e 15 do Java SE Versão 8u261 do Java SE Embedded **Descrição** Uma vulnerabilidade de difícil exploração permite que um invasor não autenticado, com acesso à rede por meio de vários protocolos, comprometa o Java SE e o Java SE Embedded. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor. Esta vulnerabilidade se aplica a implantações Java, tipicamente em clientes que executam aplicativos Java Web Start em sandbox ou miniaplicativos Java em sandbox, que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ataques bem-sucedidos podem resultar em acesso de leitura não autorizado a um subconjunto de dados acessíveis do Java SE e do Java SE Embedded. **Recomendações** Para as versões 7u271, 8u261, 11.0.8 e 15 do Java SE, atualize para uma versão que contenha uma correção para esta vulnerabilidade. Para a versão 8u261 do Java SE Embedded, atualize para uma versão que contenha uma correção para esta vulnerabilidade. Como solução alternativa temporária, considere restringir o uso da sandbox do Java em clientes que executam aplicativos Java Web Start em sandbox ou applets Java em sandbox até que um patch esteja disponível. Restrinja o acesso a código não confiável, como código proveniente da Internet, para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões 7u271, 8u261, 11.0.8 e 15 do Java SE Versão 8u261 do Java SE Embedded **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Libraries do Java SE e do Java SE Embedded, permitindo que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa o sistema. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. Isso pode ser explorado por meio de aplicativos Java Web Start em sandbox, applets Java em sandbox ou fornecendo dados a APIs no componente especificado. **Recomendações** Para as versões 7u271, 8u261, 11.0.8 e 15 do Java SE, considere desativar o uso do componente Libraries até que um patch esteja disponível. Para a versão 8u261 do Java SE Embedded, restrinja o acesso ao componente Libraries para minimizar o risco de exploração. Como solução alternativa temporária, evite usar APIs no componente especificado sem a devida validação de entrada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 7u261, 8u251, 11.0.7 e 14.0.1 do Java SE Versão 8u251 do Java SE Embedded **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Libraries do Oracle Java SE e do Java SE Embedded. Isso pode ser explorado por um invasor não autenticado com acesso à rede por meio de vários protocolos para comprometer o Java SE e o Java SE Embedded, levando potencialmente a uma tomada de controle. A vulnerabilidade afeta implantações Java que carregam e executam código não confiável, como aplicativos Java Web Start em sandbox ou miniaplicativos Java em sandbox, e dependem da sandbox do Java para segurança. Ela não se aplica a implantações Java que carregam e executam apenas código confiável, normalmente em servidores. **Recomendações** Para as versões 7u261, 8u251, 11.0.7 e 14.0.1 do Java SE, atualize para uma versão que contenha uma correção para este problema. Para a versão 8u251 do Java SE Embedded, atualize para uma versão que contenha uma correção para este problema. Como solução alternativa temporária, considere restringir o uso do componente Bibliotecas até que um patch esteja disponível. Evite executar código não confiável em implantações Java que dependam da sandbox do Java para segurança.

Name of the Vulnerable Software and Affected Versions: Linux kernel versions prior to 4.17.10 Description: The issue is related to an invalid pointer dereference in the `io ctl map page()` function when mounting and operating a crafted btrfs image. This is due to a lack of block group item validation in `check leaf item` in `fs/btrfs/tree-checker.c`. Exploitation of this issue may allow an attacker to cause a denial of service. Recommendations: For Linux kernel versions prior to 4.17.10, update to a version 4.17.10 or later to resolve the issue. As a temporary workaround, consider restricting the use of crafted btrfs images to minimize the risk of exploitation.