Oracle kritik problemlərin və zəifliklərin aradan qaldırılmasına yönəlmiş məhsullarına yeniləmələrin planlaşdırılmış buraxılışını (Critical Patch Update) dərc edib. Aprel yeniləməsi ümumilikdə 520 zəifliyi aradan qaldırıb.
Bəzi problemlər:
- 6 Java SE-də Təhlükəsizlik Problemləri. Bütün zəifliklər autentifikasiya olmadan uzaqdan istifadə edilə bilər və etibarsız kodun icrasına imkan verən mühitlərə təsir göstərə bilər. İki məsələyə 7.5 ciddilik dərəcəsi təyin edilib. Zəifliklər Java SE 18.0.1, 11.0.15 və 8u331 buraxılışlarında aradan qaldırılıb.
Problemlərdən biri (CVE-2022-21449) onu yaratarkən sıfır əyri parametrlərindən istifadə edərək uydurma ECDSA rəqəmsal imza yaratmağa imkan verir (parametrlər sıfırdırsa, əyri sonsuzluğa gedir, buna görə də sıfır dəyərlər açıq şəkildə qadağandır. spesifikasiya). Java kitabxanaları ECDSA parametrlərinin null dəyərlərini yoxlamadı, buna görə də null parametrləri olan imzaları emal edərkən Java onları bütün hallarda etibarlı hesab etdi).
Digər şeylər arasında, boşluq Java-da düzgün kimi qəbul ediləcək uydurma TLS sertifikatlarını yaratmaq, həmçinin WebAuthn vasitəsilə autentifikasiyadan keçmək və uydurma JWT imzaları və OIDC tokenlərini yaratmaq üçün istifadə edilə bilər. Başqa sözlə, zəiflik yoxlama üçün standart java.security.* siniflərindən istifadə edən Java işləyicilərində düzgün kimi qəbul ediləcək və qəbul ediləcək universal sertifikatlar və imzalar yaratmağa imkan verir. Problem Java-nın 15, 16, 17 və 18 filiallarında görünür. Saxta sertifikatların yaradılması nümunəsi mövcuddur. jshell> import java.security.* jshell> var düymələri = KeyPairGenerator.getInstance("EC").generateKeyPair() düymələri ==> java.security.KeyPair@626b2d4a jshell> var blankSignature = yeni bayt[64] blankİmza ==> bayt[64] { 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, … , 0, 0, 0, 0, 0, 0, 0, 0 } jshell > var sig = Signature.getInstance("SHA256WithECDSAinP1363Format") sig ==> İmza obyekti: SHA256WithECDSAinP1363Format jshell> sig.initVerify(keys.getPublic()) jshell> sig.update("Salam, Dünya".getBytes()) jshell> sig.verify(blankSignature) $8 ==> doğru
- MySQL serverində 26 boşluq var, onlardan ikisi uzaqdan istifadə edilə bilər. OpenSSL və protobufun istifadəsi ilə bağlı ən ciddi problemlərə 7.5 şiddət dərəcəsi verilir. Daha az zəifliklər optimallaşdırıcıya, InnoDB, replikasiyaya, PAM plagininə, DDL, DML, FTS və girişə təsir göstərir. Problemlər MySQL Community Server 8.0.29 və 5.7.38 buraxılışlarında həll edilib.
- VirtualBox-da 5 boşluq. Problemlərə 7.5-dən 3.8-ə qədər ciddilik dərəcəsi təyin edilib (ən təhlükəli zəiflik yalnız Windows platformasında görünür). Boşluqlar VirtualBox 6.1.34 yeniləməsində aradan qaldırılıb.
- Solaris-də 6 boşluq. Problemlər kernel və utilitlərə təsir edir. Kommunal xidmətlərdə ən ciddi problem 8.2 təhlükə dərəcəsi ilə müəyyən edilir. Boşluqlar Solaris 11.4 SRU44 yeniləməsində həll edilir.
Mənbə: opennet.ru