Oss Fuzz

**Nome do Software Vulnerável e Versões Afetadas** Versões do Qt 6.3.0 até 6.5.9 Versões do Qt 6.6.0 até 6.8.4 Versão do Qt 6.9.0 **Descrição** O problema ocorre quando um arquivo de imagem no formato ICNS especialmente criado é carregado no QImage, causando uma falha. **Recomendações** Para as versões do Qt 6.3.0 até 6.5.9, atualize para a versão 6.5.10. Para as versões do Qt 6.6.0 até 6.8.4, atualize para a versão 6.8.5. Para a versão do Qt 6.9.0, atualize para a versão 6.9.1.

**Name of the Vulnerable Software and Affected Versions** Golang DecodeConfig (affected versions not specified) **Description** The issue is related to an uncontrolled resource consumption in the DecodeConfig component of the Golang programming language. An attacker can craft a malformed TIFF image, which, when passed to DecodeConfig, will consume a significant amount of memory. This could lead to a denial of service. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Apache Commons Compress, versões 1.19 a 1.21 Versões do Confluence Data Center de 7.19.23 a 8.9.3 Versões do Confluence Data Center de 8.5.10 a 8.5.11 Versões do Confluence Server de 7.19.23 a 7.19.24 Versões do Confluence Server de 8.5.10 a 8.5.11 **Descrição** O problema está relacionado a erros no tratamento dos parâmetros de comprimento dos dados de entrada, o que pode levar a um ataque de negação de serviço. Ao ler um arquivo ZIP especialmente criado, o Compress pode alocar grandes quantidades de memória, resultando em um erro de memória insuficiente mesmo para entradas pequenas. Isso poderia ser usado para lançar um ataque de negação de serviço contra serviços que utilizam o pacote zip do Compress. **Recomendações** Para as versões do Confluence Data Center de 8.9.2 a 8.9.3, atualize para a versão 8.9.4. Para as versões do Confluence Data Center de 8.5.10 a 8.5.11 LTS, atualize para a versão 8.9.4 ou 8.5.12 LTS. Para as versões do Confluence Data Center de 7.19.23 a 7.19.24 LTS, atualize para a versão 8.9.4, 8.5.12 LTS ou 7.19.25 LTS. Para as versões do Confluence Server de 8.5.10 a 8.5.11 LTS, atualize para a versão 8.5.12 LTS. Para as versões do Confluence Server de 7.19.23 a 7.19.24 LTS, atualize para a versão 8.5.12 LTS ou 7.19.25 LTS. Como solução alternativa temporária, considere restringir o uso do pacote zip no Compress para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Confluence Data Center, versões 7.19.23 a 8.9.3 Confluence Server, versões 7.19.23 a 8.5.11 Apache Commons Compress (versões afetadas não especificadas) **Descrição** O problema está relacionado à alocação de memória ilimitada ao ler um arquivo TAR especialmente criado, o que pode levar a um erro de memória insuficiente. Isso poderia ser usado para lançar um ataque de negação de serviço contra serviços que utilizam o pacote tar do Compress. **Recomendações** Para as versões do Confluence Data Center de 8.9.2 a 8.9.3, atualize para a versão 8.9.4. Para as versões do Confluence Data Center de 8.5.10 a 8.5.11 LTS, atualize para a versão 8.9.4 ou 8.5.12 LTS. Para as versões do Confluence Data Center de 7.19.23 a 7.19.24 LTS, atualize para a versão 8.9.4, 8.5.12 LTS ou 7.19.25 LTS. Para as versões do Confluence Server de 8.5.10 a 8.5.11 LTS, atualize para a versão 8.5.12 LTS. Para as versões do Confluence Server de 7.19.23 a 7.19.24 LTS, atualize para a versão 8.5.12 LTS ou 7.19.25 LTS. Como solução alternativa temporária, considere restringir o uso do pacote Compress tar até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Apache Commons Compress anteriores à versão corrigida Versões do Confluence Data Center de 7.19.23 a 8.9.3 Versões do Confluence Data Center de 8.5.10 a 8.5.11 Versões do Confluence Server de 7.19.23 a 7.19.24 Versões do Confluence Server de 8.5.10 a 8.5.11 **Descrição** O problema está relacionado à construção da lista de codecs que descompactam uma entrada em um arquivo 7Z especialmente criado, o que pode resultar em um loop infinito. Isso poderia ser usado para lançar um ataque de negação de serviço contra serviços que utilizam o pacote sevenz do Compress. Um invasor não autenticado pode expor ativos no ambiente suscetíveis à exploração, sem impacto na confidencialidade, sem impacto na integridade e com alto impacto na disponibilidade, sem exigir interação do usuário. **Recomendações** Para as versões do Confluence Data Center de 8.9.2 a 8.9.3, atualize para a versão 8.9.4. Para as versões do Confluence Data Center de 8.5.10 a 8.5.11, atualize para a versão 8.9.4 ou 8.5.12. Para as versões do Confluence Data Center de 7.19.23 a 7.19.24, atualize para a versão 8.9.4, 8.5.12 ou 7.19.25. Para as versões do Confluence Server de 8.5.10 a 8.5.11, atualize para a versão 8.5.12. Para as versões do Confluence Server de 7.19.23 a 7.19.24, atualize para a versão 8.5.12 ou 7.19.25. Como solução alternativa temporária, considere restringir o acesso ao pacote sevenz até que um patch esteja disponível.