Oracle маңызды мәселелер мен осалдықтарды жоюға бағытталған өз өнімдеріне (Critical Patch Update) жаңартулардың жоспарланған шығарылымын жариялады. Сәуірдегі жаңарту барлығы 520 осалдықты түзетті.
Кейбір мәселелер:
- 6 Java SE жүйесіндегі қауіпсіздік мәселелері. Барлық осалдықтарды аутентификациясыз қашықтан пайдалануға болады және сенімсіз кодты орындауға мүмкіндік беретін орталарға әсер етеді. Екі мәселеге 7.5 ауырлық деңгейі тағайындалды. Осалдықтар Java SE 18.0.1, 11.0.15 және 8u331 шығарылымдарында шешілді.
Мәселелердің бірі (CVE-2022-21449) генерациялау кезінде нөлдік қисық параметрлерін пайдалана отырып, жалған ECDSA цифрлық қолтаңбасын жасауға мүмкіндік береді (егер параметрлер нөлге тең болса, қисық шексіздікке өтеді, сондықтан нөлдік мәндерге нақты тыйым салынады. спецификация). Java кітапханалары ECDSA параметрлерінің нөлдік мәндерін тексермеді, сондықтан нөлдік параметрлері бар қолтаңбаларды өңдеу кезінде Java оларды барлық жағдайларда жарамды деп санайды).
Басқа нәрселермен қатар, осалдықты Java тілінде дұрыс деп қабылданатын жалған TLS сертификаттарын жасау үшін, сондай-ақ WebAuthn арқылы аутентификацияны айналып өту және жалған JWT қолтаңбалары мен OIDC таңбалауыштарын жасау үшін пайдалануға болады. Басқаша айтқанда, осалдық тексеру үшін стандартты java.security.* сыныптарын пайдаланатын Java өңдеушілерінде дұрыс деп қабылданатын және қабылданатын әмбебап сертификаттар мен қолтаңбаларды жасауға мүмкіндік береді. Мәселе Java 15, 16, 17 және 18 тармақтарында пайда болады. Жалған куәліктерді жасау мысалы қолжетімді. jshell> import java.security.* jshell> var кілттері = KeyPairGenerator.getInstance("EC").generateKeyPair() кілттері ==> java.security.KeyPair@626b2d4a jshell> var blankSignature = жаңа байт[64] blankSignature ==> байт[64] { 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, … , 0, 0, 0, 0, 0, 0, 0, 0 } jshell > var sig = Signature.getInstance("SHA256WithECDSAinP1363Format") sig ==> Қолтаңба нысаны: SHA256WithECDSAinP1363Format jshell> sig.initVerify(keys.getPublic()) jshell> sig.update("Hello, World".getBytes()) jshell> sig.verify(blankSignature) $8 ==> шын
- MySQL серверіндегі 26 осалдық, оның екеуі қашықтан пайдалануға болады. OpenSSL және протобуфты пайдаланумен байланысты ең күрделі мәселелерге 7.5 ауырлық деңгейі тағайындалған. Оңтайландырушыға, InnoDB, репликацияға, PAM плагиніне, DDL, DML, FTS және журнал жүргізуге азырақ осалдықтар әсер етеді. Мәселелер MySQL Community Server 8.0.29 және 5.7.38 шығарылымдарында шешілді.
- VirtualBox-тағы 5 осалдық. Мәселелерге 7.5-тен 3.8-ге дейінгі ауырлық деңгейі тағайындалған (ең қауіпті осалдық тек Windows платформасында пайда болады). Осалдықтар VirtualBox 6.1.34 жаңартуында түзетілген.
- Solaris жүйесіндегі 6 осалдық. Мәселелер ядро мен утилиталарға әсер етеді. Инженерлік желілердегі ең күрделі мәселеге 8.2 қауіптілік деңгейі берілген. Осалдықтар Solaris 11.4 SRU44 жаңартуында шешілген.
Ақпарат көзі: opennet.ru