Java SE-তে ডামি ECDSA স্বাক্ষর তৈরি করার ক্ষমতা। মাইএসকিউএল, ভার্চুয়ালবক্স এবং সোলারিস-এ দুর্বলতা

ওরাকল তার পণ্যগুলির আপডেটের একটি নির্ধারিত রিলিজ প্রকাশ করেছে (ক্রিটিকাল প্যাচ আপডেট), যার লক্ষ্য জটিল সমস্যা এবং দুর্বলতা দূর করা। এপ্রিল আপডেট মোট 520টি দুর্বলতা দূর করেছে।

কিছু সমস্যা:

• Java SE-তে 6 নিরাপত্তা সমস্যা। সমস্ত দুর্বলতা প্রমাণীকরণ ছাড়াই দূরবর্তীভাবে ব্যবহার করা যেতে পারে এবং এমন পরিবেশকে প্রভাবিত করে যা অবিশ্বস্ত কোড কার্যকর করার অনুমতি দেয়। দুটি ইস্যুকে 7.5 এর তীব্রতা স্তর নির্ধারণ করা হয়েছে। Java SE 18.0.1, 11.0.15, এবং 8u331 রিলিজে দুর্বলতাগুলি সমাধান করা হয়েছে।

  একটি সমস্যা (CVE-2022-21449) আপনাকে এটি তৈরি করার সময় শূন্য বক্ররেখার পরামিতি ব্যবহার করে একটি কাল্পনিক ECDSA ডিজিটাল স্বাক্ষর তৈরি করতে দেয় (যদি পরামিতিগুলি শূন্য হয়, তবে বক্ররেখাটি অসীমতায় চলে যায়, তাই শূন্য মানগুলি স্পষ্টভাবে নিষিদ্ধ স্পেসিফিকেশন)। জাভা লাইব্রেরিগুলি ECDSA প্যারামিটারের নাল মান পরীক্ষা করেনি, তাই নাল প্যারামিটার সহ স্বাক্ষরগুলি প্রক্রিয়া করার সময়, Java সেগুলিকে সব ক্ষেত্রে বৈধ বলে মনে করে)।

  অন্যান্য জিনিসগুলির মধ্যে, দুর্বলতাটি কাল্পনিক TLS শংসাপত্র তৈরি করতে ব্যবহার করা যেতে পারে যা জাভাতে সঠিক হিসাবে গ্রহণ করা হবে, সেইসাথে WebAuthn এর মাধ্যমে প্রমাণীকরণ বাইপাস করতে এবং কাল্পনিক JWT স্বাক্ষর এবং OIDC টোকেন তৈরি করতে। অন্য কথায়, দুর্বলতা আপনাকে সার্বজনীন সার্টিফিকেট এবং স্বাক্ষর তৈরি করতে দেয় যা জাভা হ্যান্ডলারগুলিতে গৃহীত এবং সঠিক হিসাবে বিবেচিত হবে যা যাচাইয়ের জন্য স্ট্যান্ডার্ড java.security.* ক্লাস ব্যবহার করে। সমস্যাটি জাভা শাখা 15, 16, 17 এবং 18 এ উপস্থিত হয়। জাল সার্টিফিকেট তৈরির একটি উদাহরণ পাওয়া যায়। jshell> import java.security.* jshell> var কী = KeyPairGenerator.getInstance("EC").generateKeyPair() কী ==> java.security.KeyPair@626b2d4a jshell> var blankSignature = new bite>Signature ==> বাইট > var sig = Signature.getInstance("SHA64WithECDSAInP64Format") sig ==> স্বাক্ষর বস্তু: SHA0WithECDSAInP0Format jshell> sig.initVerify(keys.getPublic()) jshell> sig.update("Hello, World."getBytes()) jshell> sig.verify(blankSignature) $0 ==> সত্য

• MySQL সার্ভারে 26টি দুর্বলতা, যার মধ্যে দুটি দূর থেকে ব্যবহার করা যেতে পারে। ওপেনএসএসএল এবং প্রোটোবাফ ব্যবহারের সাথে জড়িত সবচেয়ে গুরুতর সমস্যাগুলির জন্য 7.5 এর তীব্রতা স্তর নির্ধারণ করা হয়েছে। কম গুরুতর দুর্বলতা অপ্টিমাইজার, InnoDB, প্রতিলিপি, PAM প্লাগইন, DDL, DML, FTS এবং লগিংকে প্রভাবিত করে। সমস্যাগুলি MySQL কমিউনিটি সার্ভার 8.0.29 এবং 5.7.38 রিলিজে সমাধান করা হয়েছে।
• ভার্চুয়ালবক্সে 5টি দুর্বলতা। সমস্যাগুলি 7.5 থেকে 3.8 পর্যন্ত একটি তীব্রতা স্তর নির্ধারণ করা হয়েছে (সবচেয়ে বিপজ্জনক দুর্বলতা শুধুমাত্র উইন্ডোজ প্ল্যাটফর্মে প্রদর্শিত হয়)। ভার্চুয়ালবক্স 6.1.34 আপডেটে দুর্বলতাগুলি সংশোধন করা হয়েছে।
• সোলারিসে 6টি দুর্বলতা। সমস্যাগুলি কার্নেল এবং ইউটিলিটিগুলিকে প্রভাবিত করে। ইউটিলিটিগুলির মধ্যে সবচেয়ে গুরুতর সমস্যাটি 8.2 এর বিপদ স্তর নির্ধারণ করা হয়েছে। Solaris 11.4 SRU44 আপডেটে দুর্বলতাগুলি সমাধান করা হয়েছে।

উত্স: opennet.ru