Sehrope

**Nome do Software Vulnerável e Versões Afetadas** pgjdbc versões 42.2.0 até 42.7.10 **Descrição** Ocorre uma negação de serviço no lado do cliente durante a autenticação SCRAM-SHA-256. Um servidor malicioso pode forçar o driver a executar a autenticação SCRAM usando uma contagem de iterações excessivamente alta, fazendo com que o cliente consuma uma quantidade ilimitada de tempo de CPU dentro do processo PBKDF2 (Password-Based Key Derivation Function 2). Isso pode ocupar um núcleo de CPU por tentativa, e tentativas simultâneas podem esgotar os recursos de CPU do cliente e travar os pools de conexão. O parâmetro `loginTimeout` não mitiga totalmente este problema, pois a thread de trabalho pode continuar a computação PBKDF2 mesmo após a expiração do tempo limite. **Recomendações** Atualizar para a versão 42.7.11.

**Nome do software vulnerável e versões afetadas** Versões do WAL-G anteriores à 1.1 **Descrição** O problema ocorre quando é utilizada uma compilação do WAL-G que não utilize a biblioteca libsodium, fazendo com que o programa ignore silenciosamente a chave de criptografia da libsodium e envie backups em texto simples. Esse comportamento é considerado uma violação do Princípio da Menor Surpresa, já que os usuários provavelmente pretendem criptografar todas as atividades relacionadas a arquivos. **Recomendações** Para versões anteriores à 1.1, atualize para a versão 1.1 ou posterior para garantir que os backups sejam criptografados corretamente. Como solução temporária, considere evitar o uso de compilações sem o libsodium até que uma versão segura esteja disponível.

Name of the Vulnerable Software and Affected Versions: pg versions prior to 2.11.2 pg versions prior to 3.6.4 pg versions prior to 4.5.7 pg versions prior to 5.2.1 pg versions prior to 6.4.2 pg versions prior to 7.1.2 Description: A remote code execution issue was found in the pg module when a remote database or query specifies a specially crafted column name. There are two likely scenarios in which one would be vulnerable: executing unsafe, user-supplied SQL that contains a malicious column name, or connecting to an untrusted database and executing a query that returns results where any of the column names are malicious. Recommendations: * Version 2.x.x: Update to version 2.11.2 or later. * Version 3.x.x: Update to version 3.6.4 or later. * Version 4.x.x: Update to version 4.5.7 or later. * Version 5.x.x: Update to version 5.2.1 or later. * Version 6.x.x: Update to version 6.4.2 or later. * Version 7.x.x: Update to version 7.1.2 or later.