CVE-2024-29857

Nome do software vulnerável e versões afetadas:

Bouncy Castle Java (BC Java) versões 1.78 e anteriores

Bouncy Castle Java LTS (BC Java LTS) versões 2.73.6 e anteriores

Bouncy Castle FIPS Java API (BC-FJA) versões 1.0.2.5 e anteriores

Bouncy Castle C# .Net versões 2.3.1 e anteriores

Bamboo Data Center e Server versões anteriores a 9.2.14, 9.5.4 e 9.6.2

Confluence Data Center e Server versões anteriores a 7.19.26, 8.5.12, 8.9.4 e 9.0.1

Descrição:

Foi descoberta uma vulnerabilidade nos arquivos ECCurve.java e ECCurve.cs, que pode levar a um consumo excessivo de CPU durante a avaliação dos parâmetros da curva ao importar um certificado EC com parâmetros F2m manipulados. Isso pode permitir que um invasor não autenticado exponha ativos no ambiente suscetíveis a exploração, sem impacto na confidencialidade, sem impacto na integridade e com alto impacto na disponibilidade, sem exigir interação do usuário.

Recomendações:

Para as versões 1.78 e anteriores do Bouncy Castle Java (BC Java), atualize para a versão 1.78 ou posterior.

Para as versões 2.73.6 e anteriores do Bouncy Castle Java LTS (BC Java LTS), atualize para a versão 2.73.6 ou posterior.

Para as versões 1.0.2.5 e anteriores do Bouncy Castle FIPS Java API (BC-FJA), atualize para a versão 1.0.2.5 ou posterior.

Para as versões 2.3.1 e anteriores do Bouncy Castle C# .Net, atualize para a versão 2.3.1 ou posterior.

Para o Bamboo Data Center e Server em versões anteriores a 9.2.14, 9.5.4 e 9.6.2, atualize para uma versão igual ou superior a 9.2.14, 9.5.4 ou 9.6.2.

Para o Confluence Data Center e Server