Ang Oracle nagpatik sa usa ka giplano nga pagpagawas sa mga update sa mga produkto niini (Critical Patch Update), nga nagtumong sa pagwagtang sa mga kritikal nga problema ug mga kahuyangan. Ang pag-update sa Abril nag-ayo sa kinatibuk-an nga 520 nga mga kahuyangan.
Pipila ka mga problema:
- 6 Mga Isyu sa Seguridad sa Java SE. Ang tanan nga mga kahuyangan mahimong pahimuslan sa layo nga walaβy pagkumpirma ug makaapekto sa mga palibot nga nagtugot sa pagpatuman sa dili kasaligan nga code. Duha ka mga isyu ang gi-assign sa lebel sa kagrabe nga 7.5. Ang mga kahuyangan nasulbad sa Java SE 18.0.1, 11.0.15, ug 8u331 nga gipagawas.
Usa sa mga problema (CVE-2022-21449) nagtugot kanimo sa pagmugna og usa ka tinumotumo nga ECDSA digital signature gamit ang zero curve parameters sa paghimo niini (kung ang mga parameter zero, nan ang curve moadto sa infinity, mao nga ang zero values ββklaro nga gidili sa espesipikasyon). Ang mga librarya sa Java wala magsusi sa mga null value sa mga parameter sa ECDSA, mao nga kung ang pagproseso sa mga pirma nga adunay mga null nga mga parameter, giisip kini sa Java nga balido sa tanan nga mga kaso).
Lakip sa ubang mga butang, ang pagkahuyang mahimong magamit aron makamugna og tinumotumo nga mga sertipiko sa TLS nga dawaton sa Java nga husto, ingon man sa paglaktaw sa pag-authenticate pinaagi sa WebAuthn ug pagmugna og tinumotumo nga mga pirma sa JWT ug mga token sa OIDC. Sa laing pagkasulti, ang pagkahuyang nagtugot kanimo sa pagmugna ug unibersal nga mga sertipiko ug mga pirma nga dawaton ug maisip nga husto sa mga tigdumala sa Java nga naggamit sa standard nga java.security.* nga mga klase alang sa pag-verify. Ang problema makita sa Java nga mga sanga 15, 16, 17 ug 18. Usa ka pananglitan sa pagmugna og peke nga mga sertipiko anaa. jshell> import java.security.* jshell> var keys = KeyPairGenerator.getInstance("EC").generateKeyPair() keys ==> java.security.KeyPair@626b2d4a jshell> var blankSignature = bag-ong byte[64] blankSignature ==> byte[64] { 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, β¦ , 0, 0, 0, 0, 0, 0, 0, 0 } jshell > var sig = Signature.getInstance("SHA256WithECDSAInP1363Format") sig ==> Signature object: SHA256WithECDSAInP1363Format jshell> sig.initVerify(keys.getPublic()) jshell> sig.update("Hello, World".getBytes()) jshell> sig.verify(blankSignature) $8 ==> tinuod
- 26 nga mga kahuyangan sa MySQL server, ang duha niini mahimong mapahimuslan sa layo. Ang labing seryoso nga mga problema nga nalangkit sa paggamit sa OpenSSL ug protobuf gi-assign sa usa ka kagrabe nga lebel sa 7.5. Ang dili kaayo grabe nga mga kahuyangan makaapekto sa optimizer, InnoDB, replikasyon, PAM plugin, DDL, DML, FTS ug pag-log. Ang mga isyu nasulbad sa MySQL Community Server 8.0.29 ug 5.7.38 nga gipagawas.
- 5 nga mga kahuyangan sa VirtualBox. Ang mga isyu gi-assign sa lebel sa kagrabe gikan sa 7.5 ngadto sa 3.8 (ang labing delikado nga pagkahuyang makita lamang sa Windows platform). Ang mga kahuyangan gitakda sa pag-update sa VirtualBox 6.1.34.
- 6 nga mga kahuyangan sa Solaris. Ang mga problema makaapekto sa kernel ug mga utilities. Ang labing seryoso nga problema sa mga utilities gi-assign sa usa ka peligro nga lebel sa 8.2. Ang mga kahuyangan nasulbad sa Solaris 11.4 SRU44 update.
Source: opennet.ru