ProHoster > Blag > nuacht idirlín > Cumas sínithe ECDSA caocha a ghiniúint i Java SE. Leochaileachtaí i MySQL, VirtualBox agus Solaris

Cumas sínithe ECDSA caocha a ghiniúint i Java SE. Leochaileachtaí i MySQL, VirtualBox agus Solaris

D'fhoilsigh Oracle scaoileadh sceidealta nuashonruithe ar a chuid táirgí (Nuashonrú Paiste Criticiúil), atá dírithe ar fhadhbanna agus leochaileachtaí ríthábhachtacha a dhíchur. Shocraigh nuashonrú Aibreán 520 leochaileacht san iomlán.

Roinnt fadhbanna:

  • 6 Saincheist Slándála i Java SE. Is féidir gach leochaileacht a shaothrú go cianda gan fíordheimhniú agus déanann siad difear do thimpeallachtaí a cheadaíonn cód neamhiontaofa a fhorghníomhú. Sannadh leibhéal déine de 7.5 ar dhá shaincheist. Réitíodh na leochaileachtaí i eisiúintí Java SE 18.0.1, 11.0.15, agus 8u331.

    Ceadaíonn ceann de na fadhbanna (CVE-2022-21449) duit síniú digiteach ECDSA bréige a ghiniúint ag baint úsáide as paraiméadair cuar nialasach nuair a bhíonn sé á ghiniúint (má tá na paraiméadair náid, ansin téann an cuar go héigríoch, agus mar sin tá cosc ​​​​ar luachanna nialasacha go sainráite i an tsonraíocht). Níor sheiceáil na leabharlanna Java le haghaidh luachanna null paraiméadair ECDSA, agus mar sin nuair a bhí sínithe le paraiméadair null á bpróiseáil, mheas Java iad a bheith bailí i ngach cás).

    I measc rudaí eile, is féidir an leochaileacht a úsáid chun teastais bhréige TLS a ghiniúint a nglacfar leo i Java mar chearta, chomh maith le fíordheimhniú a sheachbhóthar trí WebAuthn agus sínithe bréige JWT agus comharthaí OIDC a ghiniúint. I bhfocail eile, ceadaíonn an leochaileacht duit teastais agus sínithe uilíocha a ghiniúint a ghlacfar agus a mheastar a bheith ceart i láimhseálaithe Java a úsáideann ranganna caighdeánacha java.security.* le haghaidh fíorú. Tá an fhadhb le feiceáil i mbrainsí Java 15, 16, 17 agus 18. Tá sampla de dheimhnithe bréige a ghiniúint ar fáil. jshell> allmhairiú java.security.* jshell> var keys = KeyPairGenerator.getInstance("CE").generateKeyPair() eochracha ==> java.security.KeyPair@626b2d4a jshell> var blankSignature = beart nua[64] blankSignature ==> beart[64] { 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, … , 0, 0, 0, 0, 0, 0, 0, 0 } jshell > var sig = Signature.getInstance("SHA256WithECDSAInP1363Format") sig ==> Réad sínithe: SHA256WithECDSAInP1363Format jshell> sig.initVerify(keys.getPublic()) jshell> sig.update("Dia duit, an Domhain".getBytes()) jshell> sig.verify(blankSignature) $8 ==> fíor

  • 26 leochaileacht sa fhreastalaí MySQL, ar féidir dhá cheann díobh a shaothrú go cianda. Sanntar leibhéal déine 7.5 ar na fadhbanna is tromchúisí a bhaineann le húsáid OpenSSL agus protobuf. Bíonn tionchar ag leochaileachtaí nach bhfuil chomh dian ar an optamóir, InnoDB, macasamhlú, breiseán PAM, DDL, DML, FTS agus logáil. Réitíodh na saincheisteanna in eisiúintí MySQL Community Server 8.0.29 agus 5.7.38.
  • 5 leochaileacht i VirtualBox. Sanntar leibhéal déine ó 7.5 go 3.8 do na saincheisteanna (ní fheictear an leochaileacht is contúirtí ach ar ardán Windows). Tá na leochaileachtaí socraithe sa nuashonrú VirtualBox 6.1.34.
  • 6 leochaileacht i Solaris. Bíonn tionchar ag na fadhbanna ar an eithne agus ar na fóntais. Sanntar leibhéal contúirte 8.2 don fhadhb is tromchúisí sna fóntais. Réitítear na leochaileachtaí i nuashonrú Solaris 11.4 SRU44.

Foinse: oscailtenet.ru

Add a comment