Oracle-k bere produktuen eguneratzeen programatutako kaleratzea argitaratu du (Critical Patch Update), arazo eta ahulgune kritikoak ezabatzera zuzenduta. Apirileko eguneratzeak 520 ahultasun ezabatu zituen guztira.
Arazo batzuk:
- 6 segurtasun-arazo Java SE-n. Ahultasun guztiak urrunetik ustiatu daitezke autentifikaziorik gabe eta fidagarria ez den kodea exekutatzeko aukera ematen duten inguruneetan eragina izan dezakete. Bi gairi 7.5eko larritasun maila esleitu zaie. Ahultasunak Java SE 18.0.1, 11.0.15 eta 8u331 bertsioetan konpondu dira.
Arazoetako batek (CVE-2022-21449) ECDSA fikziozko sinadura digitala sortzeko aukera ematen du zero kurba-parametroak erabiliz sortzen denean (parametroak zero badira, orduan kurba infinitura doa, beraz, zero balioak esplizituki debekatuta daude). zehaztapena). Java liburutegiek ez zuten ECDSA parametroen balio nulurik egiaztatu, beraz, parametro nuluekin sinadurak prozesatzen zituztenean, Javak kasu guztietan baliozkotzat jo zituen).
Besteak beste, ahultasuna Javan zuzen gisa onartuko diren fikziozko TLS ziurtagiriak sortzeko erabil daiteke, baita WebAuthn bidezko autentifikazioa saihesteko eta JWT sinadura eta OIDC token fikziozkoak sortzeko ere. Beste era batera esanda, ahultasunak egiaztatzeko java.security.* klase estandarrak erabiltzen dituzten Java kudeatzaileetan onartuko eta zuzentzat hartuko diren ziurtagiri eta sinadura unibertsalak sortzeko aukera ematen du. Arazoa Java 15., 16., 17. eta 18. adarretan agertzen da. Ziurtagiri faltsuak sortzeko adibide bat dago eskuragarri. jshell> import java.security.* jshell> var keys = KeyPairGenerator.getInstance("EC").generateKeyPair() keys ==> java.security.KeyPair@626b2d4a jshell> var blankSignature = byte berria[64] blankSignature ==> byte[64] { 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, β¦ , 0, 0, 0, 0, 0, 0, 0, 0 } jshell > var sig = Signature.getInstance("SHA256WithECDSAInP1363Format") sig ==> Sinadura objektua: SHA256WithECDSAInP1363Format jshell> sig.initVerify(keys.getPublic()) jshell> sig.update("Kaixo, Mundua".getBytes()) jshell> sig.verify(blankSignature) $8 ==> true
- 26 ahultasun MySQL zerbitzarian, horietako bi urrunetik ustiatu daitezke. OpenSSL eta protobuf-en erabilerarekin lotutako arazo larrienei 7.5 larritasun maila esleitzen zaie. Ahultasun larriak ez diren optimizatzaileari, InnoDBri, erreplikazioari, PAM pluginari, DDL, DML, FTS eta erregistroari eragiten diote. Arazoak MySQL Community Server 8.0.29 eta 5.7.38 bertsioetan konpondu ziren.
- 5 ahultasun VirtualBox-en. Arazoei 7.5etik 3.8ra arteko larritasun maila esleitzen zaie (ahultasun arriskutsuena Windows plataforman bakarrik agertzen da). Ahultasunak VirtualBox 6.1.34 eguneratzean konpondu dira.
- Solaris-en 6 ahultasun. Arazoek nukleoari eta utilitateei eragiten diete. Utilitateen arazo larriena 8.2 arrisku-maila esleitzen zaio. Ahuleziak Solaris 11.4 SRU44 eguneratzean konpondu dira.
Iturria: opennet.ru