Yaoguang Chen

**Nome do software vulnerável e versões afetadas** Versões do NSS anteriores à 3.73 ou 3.68.1 ESR **Descrição** O problema está relacionado a um estouro de pilha (heap overflow) ao processar assinaturas DSA ou RSA-PSS codificadas em DER. Aplicativos que utilizam o NSS para lidar com assinaturas codificadas em CMS, S/MIME, PKCS #7 ou PKCS #12 provavelmente serão afetados. Acredita-se que clientes de e-mail e visualizadores de PDF que utilizam o NSS para verificação de assinaturas, como Thunderbird, LibreOffice, Evolution e Evince, sejam afetados. A vulnerabilidade pode permitir que um invasor remoto execute código arbitrário. **Recomendações** Para versões do NSS anteriores à 3.73 ou 3.68.1 ESR, atualize para a versão 3.73 ou 3.68.1 ESR ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar o uso de assinaturas DSA ou RSA-PSS codificadas em DER até que um patch esteja disponível. Restrinja o acesso a aplicativos vulneráveis, como clientes de e-mail e visualizadores de PDF, para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões 5.7.36 e anteriores do MySQL Server Versões 8.0.27 e anteriores do MySQL Server **Descrição** O problema está relacionado a erros na liberação de recursos no produto MySQL Server, especificamente no componente Server: Stored Procedure. Isso permite que um invasor com privilégios elevados e acesso à rede por meio de vários protocolos comprometa o MySQL Server. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou uma falha repetitiva (DOS completo) do MySQL Server. **Recomendações** Para as versões 5.7.36 e anteriores do MySQL Server, atualize para uma versão posterior à 5.7.36 para resolver o problema. Para as versões 8.0.27 e anteriores do MySQL Server, atualize para uma versão posterior à 8.0.27 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso de rede ao MySQL Server para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões 5.7.36 e anteriores do MySQL Server Versões 8.0.27 e anteriores do MySQL Server **Descrição** O problema está relacionado a erros na liberação de recursos no produto MySQL Server, especificamente no componente Server: Parser. Isso permite que um invasor com privilégios elevados e acesso à rede por meio de vários protocolos comprometa o MySQL Server. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou falha repetitiva (DOS completo) do MySQL Server. **Recomendações** Para as versões 5.7.36 e anteriores do MySQL Server, atualize para uma versão posterior à 5.7.36 para resolver o problema. Para as versões 8.0.27 e anteriores do MySQL Server, atualize para uma versão posterior à 8.0.27 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso de rede ao MySQL Server para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Oracle MySQL versões 8.0.26 e anteriores Descrição: A vulnerabilidade permite que um invasor com privilégios elevados e acesso à rede por meio de vários protocolos comprometa o servidor MySQL. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou uma falha repetitiva do servidor MySQL. Recomendações: Para as versões 8.0.26 e anteriores, atualize para uma versão posterior à 8.0.26 para resolver o problema.

**Nome do software vulnerável e versões afetadas: Oracle MySQL versões 8.0.26 e anteriores Descrição: A vulnerabilidade permite que um invasor com privilégios elevados e acesso à rede por meio de vários protocolos comprometa o servidor MySQL. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou uma falha repetitiva do servidor MySQL. Recomendações: Para as versões 8.0.26 e anteriores, atualize para uma versão posterior à 8.0.26 para resolver o problema.

**Nome do software vulnerável e versões afetadas: Oracle Database Server versões 12.1.0.2, 12.2.0.1, 19c, 21c Descrição: A vulnerabilidade afeta o componente Core RDBMS, permitindo que um invasor com privilégios limitados, mas com permissão para criar tabelas e acesso à rede via Oracle Net, comprometa o Core RDBMS. Isso pode resultar em uma negação de serviço parcial (DOS parcial) do Core RDBMS. Recomendações: Para as versões 12.1.0.2, 12.2.0.1, 19c, 21c, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Oracle MySQL versões 8.0.26 e anteriores Descrição: A vulnerabilidade permite que um invasor com privilégios elevados e acesso à rede por meio de vários protocolos comprometa o servidor MySQL. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou uma falha repetitiva do servidor MySQL. Recomendações: Para as versões 8.0.26 e anteriores, atualize para uma versão posterior à 8.0.26 para resolver o problema.

**Nome do software vulnerável e versões afetadas: Versões 8.0.26 e anteriores do MySQL Server Descrição: Uma vulnerabilidade no produto MySQL Server permite que um invasor com privilégios elevados e acesso à rede por meio de vários protocolos comprometa o MySQL Server. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou falhas repetidas do MySQL Server. Recomendações: Para as versões 8.0.26 e anteriores, atualize para uma versão posterior à 8.0.26 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Oracle MySQL versões 8.0.26 e anteriores Descrição: A vulnerabilidade permite que um invasor com privilégios elevados e acesso à rede por meio de vários protocolos comprometa o servidor MySQL. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou uma falha repetitiva do servidor MySQL. Recomendações: Para as versões 8.0.26 e anteriores, atualize para uma versão posterior à 8.0.26 para resolver o problema.

**Nome do software vulnerável e versões afetadas: Oracle MySQL versões 8.0.26 e anteriores Descrição: A vulnerabilidade permite que um invasor com privilégios elevados e acesso à rede por meio de vários protocolos comprometa o servidor MySQL. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou uma falha repetitiva do servidor MySQL. Recomendações: Para as versões 8.0.26 e anteriores, atualize para uma versão posterior à 8.0.26 para resolver o problema.

**Nome do software vulnerável e versões afetadas** MariaDB Server versões 10.6.2 e anteriores **Descrição** Foi descoberta uma falha no componente Arg comparator::compare real fixed que permite que invasores causem uma negação de serviço (DoS) por meio de instruções SQL especialmente criadas. A vulnerabilidade está relacionada à falta de medidas de proteção para a estrutura da consulta SQL, que pode ser explorada por um invasor remoto para causar uma negação de serviço usando uma solicitação SQL especialmente criada. **Recomendações** Para as versões 10.6.2 e anteriores do MariaDB Server, considere desativar o componente Arg comparator::compare real fixed como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a instruções SQL especialmente criadas para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Database Server versão 19c **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Core RDBMS do Oracle Database Server. Isso permite que um invasor com privilégios limitados, mas com permissão para criar tabelas (Create Table) e acesso à rede via Oracle Net, comprometa o Core RDBMS, o que pode resultar em uma negação parcial de serviço. **Recomendações** Para a versão 19c, aplique os patches ou atualizações necessários para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à rede via Oracle Net para minimizar o risco de exploração. Além disso, limite o privilégio de criação de tabelas apenas a usuários autorizados.

**Nome do software vulnerável e versões afetadas** Versões 8.0.25 e anteriores do MySQL Server **Descrição** O problema está relacionado a erros na liberação de recursos no componente Optimizer do MySQL Server. Isso permite que um invasor remoto provoque uma negação de serviço. Ataques bem-sucedidos podem resultar na capacidade de causar um travamento ou uma falha repetitiva do MySQL Server. **Recomendações** Para as versões 8.0.25 e anteriores, atualize para uma versão que contenha uma correção para este problema. Como solução alternativa temporária, considere restringir o acesso de rede ao MySQL Server para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do Cameralyzer anteriores à 3.2.1041 na série 3.2.x Versões do Cameralyzer anteriores à 3.3.1040 na série 3.3.x Versões do Cameralyzer anteriores à 3.4.4210 na série 3.4.x Descrição: O problema está relacionado a um controle de acesso inadequado no Cameralyzer, permitindo que aplicativos não confiáveis acessem determinadas funções. Recomendações: Para versões anteriores à 3.2.1041 na série 3.2.x, atualize para a versão 3.2.1041 ou posterior. Para versões anteriores à 3.3.1040 na série 3.3.x, atualize para a versão 3.3.1040 ou posterior. Para versões anteriores à 3.4.4210 na série 3.4.x, atualize para a versão 3.4.4210 ou posterior.

**Nome do software vulnerável e versões afetadas** MariaDB Server versões 10.6 e anteriores **Descrição** Foi descoberta uma falha no componente Field::set default do MariaDB Server que permite que invasores provoquem uma negação de serviço (DoS) por meio de instruções SQL especialmente criadas. A vulnerabilidade está relacionada à falta de medidas de proteção para a estrutura da consulta SQL, que pode ser explorada por um invasor remoto para causar uma negação de serviço usando uma solicitação SQL especialmente criada. **Recomendações** Para as versões 10.6 e anteriores do MariaDB Server, considere desativar o componente Field::set default como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à estrutura de consulta SQL para minimizar o risco de exploração. Evite usar instruções SQL especialmente criadas no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Hyperion Analytic Provider Services, versões 11.1.2.4 e 12.2.1.4 Essbase Analytic Provider Services, versão 21.2 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente JAPI do software afetado, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o Hyperion Analytic Provider Services. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos, resultando potencialmente na tomada de controle do Hyperion Analytic Provider Services. **Recomendações** Para as versões 11.1.2.4 e 12.2.1.4 do Hyperion Analytic Provider Services, atualize para uma versão que inclua a correção para este problema. Para a versão 21.2 do Essbase Analytic Provider Services, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente JAPI até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões 8.0.23 e anteriores do MySQL Server **Descrição** O problema está relacionado a erros na liberação de recursos no componente Optimizer do MySQL Server. Isso permite que um invasor remoto provoque uma negação de serviço. Ataques bem-sucedidos podem resultar na capacidade de causar um travamento ou uma falha repetitiva do MySQL Server. **Recomendações** Para as versões 8.0.23 e anteriores, atualize para uma versão que contenha uma correção para este problema, a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 5.7.33 e anteriores do MySQL Server Versões 8.0.23 e anteriores do MySQL Server **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Server: Optimizer do Oracle MySQL Server. Isso permite que um invasor com privilégios elevados e acesso à rede por meio de vários protocolos comprometa o MySQL Server. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou falhas repetidas com frequência (DOS completo) do MySQL Server. **Recomendações** Para as versões 5.7.33 e anteriores do MySQL Server, atualize para uma versão posterior à 5.7.33 para resolver o problema. Para as versões 8.0.23 e anteriores do MySQL Server, atualize para uma versão posterior à 8.0.23 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso de rede ao MySQL Server para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle MySQL Server versões 8.0.23 e anteriores **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Server: Optimizer do Oracle MySQL Server. Isso permite que um invasor com privilégios elevados e acesso à rede por meio de vários protocolos comprometa o MySQL Server. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou uma falha repetitiva (DOS completo) do Oracle MySQL Server. **Recomendações** Para as versões 8.0.23 e anteriores do Oracle MySQL Server, atualize para uma versão posterior à 8.0.23 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso de rede ao Oracle MySQL Server para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Servidor HTTP Apache, versões 2.4.39 a 2.4.46 **Descrição** A vulnerabilidade existe devido a uma validação insuficiente de entradas no Servidor HTTP Apache. A exploração dessa vulnerabilidade pode permitir que um invasor remoto comprometa a integridade de informações protegidas. O problema está relacionado a um comportamento inesperado de correspondência quando a opção ‘MergeSlashes OFF’ está ativada. **Recomendações** Para as versões 2.4.39 a 2.4.46 do Apache HTTP Server, atualize para uma versão que corrija o comportamento de correspondência inesperado com ‘MergeSlashes OFF’. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.