Ua hoʻopuka ʻo Oracle i kahi hoʻokuʻu i hoʻonohonoho ʻia o nā mea hou i kāna huahana (Critical Patch Update), i manaʻo ʻia e hoʻopau i nā pilikia koʻikoʻi a me nā nāwaliwali. Ua hoʻopaʻa ka hōʻano hou o ʻApelila i ka huina o 520 mau nāwaliwali.
ʻO kekahi mau pilikia:
- 6 Nā pilikia palekana ma Java SE. Hiki ke hoʻohana mamao ʻia nā mea nāwaliwali a pau me ka ʻole o ka hōʻoia ʻana a pili i nā kaiapuni e ʻae ai i ka hoʻokō ʻana i nā code hilinaʻi ʻole. Ua hāʻawi ʻia nā pilikia ʻelua i kahi pae koʻikoʻi o 7.5. Ua hoʻoholo ʻia nā nāwaliwali ma Java SE 18.0.1, 11.0.15, a me 8u331 hoʻokuʻu.
ʻO kekahi o nā pilikia (CVE-2022-21449) hiki iā ʻoe ke hana i kahi hōʻailona kikohoʻe ECDSA fictitious me ka hoʻohana ʻana i nā ʻāpana curve zero i ka wā e hana ai (inā ʻaʻole nā ʻāpana, a laila hele ka pihi i ka palena ʻole, no laila ua pāpā ʻia nā waiwai ʻole i loko. ka kikoʻī). ʻAʻole i nānā nā hale waihona puke Java no nā waiwai ʻole o nā ʻāpana ECDSA, no laila i ka wā e hoʻoili ai i nā pūlima me nā ʻāpana null, ua manaʻo ʻo Java i kūpono i nā hihia āpau).
Ma waena o nā mea ʻē aʻe, hiki ke hoʻohana ʻia ka nāwaliwali e hana i nā palapala hōʻoia TLS fictitious e ʻae ʻia ma Java e like me ka pololei, a me ke kāpae ʻana i ka hōʻoia ʻana ma o WebAuthn a hana i nā pūlima JWT fictitious a me nā hōʻailona OIDC. Ma nā huaʻōlelo ʻē aʻe, hiki i ka nāwaliwali ke hiki iā ʻoe ke hana i nā palapala hōʻoia āpau a me nā pūlima e ʻae ʻia a ʻike ʻia he pololei i nā mea lawelawe Java e hoʻohana ana i nā papa java.security.* maʻamau no ka hōʻoia. ʻIke ʻia ka pilikia ma nā lālā Java 15, 16, 17 a me 18. Loaʻa kahi laʻana o ka hana ʻana i nā palapala hoʻopunipuni. jshell> hoʻokomo i java.security.* jshell> var kī = KeyPairGenerator.getInstance("EC").generateKeyPair() kī ==> java.security.KeyPair@626b2d4a jshell> var blankSignature = new byte[64] blankSignature ==> byte[64] { 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, … , 0, 0, 0, 0, 0, 0, 0, 0 } jshell > var sig = Signature.getInstance ("SHA256WithECDSAInP1363Format") sig ==> Mea inoa: SHA256WithECDSAInP1363Format jshell> sig.initVerify(keys.getPublic()) jshell> sig.update("Aloha, World".getBytes()) jshell> sig.verify(blankSignature) $8 ==> oiaio
- 26 mau nāwaliwali i ka server MySQL, ʻelua o ia mau mea hiki ke hoʻohana mamao. ʻO nā pilikia koʻikoʻi e pili ana i ka hoʻohana ʻana iā OpenSSL a me protobuf ua hāʻawi ʻia i kahi pae koʻikoʻi o 7.5. Hoʻopilikia nā nāwaliwali liʻiliʻi i ka optimizer, InnoDB, replication, PAM plugin, DDL, DML, FTS a me ka logging. Ua hoʻoholo ʻia nā pilikia ma MySQL Community Server 8.0.29 a me 5.7.38 hoʻokuʻu.
- 5 mau nāwaliwali ma VirtualBox. Hāʻawi ʻia nā pilikia i kahi pae koʻikoʻi mai ka 7.5 a i ka 3.8 (ʻike ʻia ka haʻahaʻa weliweli loa ma ka paepae Windows). Hoʻopaʻa ʻia nā nāwaliwali i ka hoʻonui VirtualBox 6.1.34.
- 6 mau nāwaliwali ma Solaris. Pili nā pilikia i ka kernel a me nā pono. ʻO ka pilikia koʻikoʻi loa i nā pono hana i hāʻawi ʻia i kahi pae pilikia o 8.2. Hoʻoholo ʻia nā nāwaliwali i ka hoʻonui ʻana o Solaris 11.4 SRU44.
Source: opennet.ru