Tha Oracle air foillseachadh clàraichte de dh’ ùrachaidhean air na toraidhean aige (Critical Patch Update), a tha ag amas air cuir às do dhuilgheadasan èiginneach agus so-leòntachd. Chuir ùrachadh a’ Ghiblein às do 520 so-leòntachd gu h-iomlan.
Cuid de dhuilgheadasan:
- 6 Cùisean Tèarainteachd ann an Java SE. Faodar brath a ghabhail air a h-uile so-leòntachd air astar gun dearbhadh agus bheir e buaidh air àrainneachdan a leigeas le còd neo-earbsach a chuir an gnìomh. Chaidh ìre doimhneachd de 7.5 a thoirt do dhà chùis. Chaidh na so-leòntachd fhuasgladh ann an fiosan Java SE 18.0.1, 11.0.15, agus 8u331.
Leigidh aon de na duilgheadasan (CVE-2022-21449) leat ainm-sgrìobhte didseatach meallta ECDSA a ghineadh a ’cleachdadh paramadairean lùb neoni nuair a bhios tu ga ghineadh (ma tha na paramadairean neoni, bidh an lùb a’ dol gu Infinity, agus mar sin tha luachan neoni air an toirmeasg gu sònraichte ann an an t-sònrachadh). Cha do rinn na leabharlannan Java sgrùdadh airson luachan null de pharamadairean ECDSA, agus mar sin nuair a bha iad a’ giullachd ainmean-sgrìobhte le paramadairean null, bha Java den bheachd gu robh iad dligheach anns a h-uile cùis).
Am measg rudan eile, faodar an so-leòntachd a chleachdadh gus teisteanasan meallta TLS a ghineadh ris an tèid gabhail ann an Java mar cheart, a bharrachd air a bhith a’ seachnadh dearbhadh tro WebAuthn agus a’ gineadh ainmean-sgrìobhte JWT meallta agus comharran OIDC. Ann am faclan eile, tha an so-leòntachd a’ toirt cothrom dhut teisteanasan uile-choitcheann agus ainmean-sgrìobhte a ghineadh a thèid gabhail riutha agus air am faicinn ceart ann an luchd-làimhseachaidh Java a bhios a’ cleachdadh clasaichean àbhaisteach java.security.* airson dearbhadh. Tha an duilgheadas a 'nochdadh ann an meuran Java 15, 16, 17 agus 18. Tha eisimpleir de ghineadh teisteanasan fake ri fhaighinn. jshell> import java.security.* jshell> var keys = KeyPairGenerator.getInstance("EC").generateKeyPair() iuchraichean ==> java.security.KeyPair@626b2d4a jshell> var blankSignature = byte ùr[64] blankSignature ==> beite[64] { 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, … , 0, 0, 0, 0, 0, 0, 0, 0 } jshell > var sig = Signature.getInstance (“SHA256WithECDSAInP1363Format”) sig ==> Rud ainm-sgrìobhte: SHA256WithECDSAInP1363Format jshell> sig.initVerify(keys.getPublic()) jshell> sig.update("Hello, World".getBytes()) jshell> sig.verify(blankSignature) $8 ==> fìor
- 26 anns an t-seirbheisiche MySQL, agus faodar dhà dhiubh sin a chleachdadh air astar. Tha na duilgheadasan as miosa co-cheangailte ri cleachdadh OpenSSL agus protobuf air an sònrachadh ìre doimhneachd de 7.5. Bidh so-leòntachd nas lugha a’ toirt buaidh air an optimizer, InnoDB, ath-riochdachadh, plugan PAM, DDL, DML, FTS agus logadh. Chaidh na cùisean fhuasgladh ann am fiosan MySQL Community Server 8.0.29 agus 5.7.38.
- 5 so-leòntachd ann an VirtualBox. Tha na cùisean air an sònrachadh ìre dìomhaireachd bho 7.5 gu 3.8 (chan eil an so-leòntachd as cunnartaiche a’ nochdadh ach air àrd-ùrlar Windows). Tha na so-leòntachd stèidhichte anns an ùrachadh VirtualBox 6.1.34.
- 6 so-leòntachd ann an Solaris. Bidh na duilgheadasan a 'toirt buaidh air kernel agus goireasan. Is e an duilgheadas as miosa anns na goireasan ìre cunnart 8.2 a thoirt seachad. Tha na so-leòntachd air am fuasgladh anns an ùrachadh Solaris 11.4 SRU44.
Source: fosgailtenet.ru