Oracle өзүнүн өнүмдөрүнүн жаңыртууларынын пландуу чыгарылышын (Critical Patch Update) жарыялады, бул орчундуу көйгөйлөрдү жана алсыздыктарды жоюуга багытталган. Апрель жаңыруусу жалпысынан 520 кемчиликти жок кылды.
Кээ бир көйгөйлөр:
- 6 Java SEдеги коопсуздук маселелери. Бардык алсыздыктар аутентификациясыз алыстан колдонулушу мүмкүн жана ишенимсиз кодду аткарууга мүмкүндүк берген чөйрөлөргө таасир этет. Эки көйгөйгө 7.5 кооптуу деңгээли ыйгарылган. Алсыздыктар Java SE 18.0.1, 11.0.15 жана 8u331 чыгарылыштарында чечилген.
Көйгөйлөрдүн бири (CVE-2022-21449) аны генерациялоодо нөл ийри сызыгынын параметрлерин колдонуу менен жасалма ECDSA санарип кол тамгасын түзүүгө мүмкүндүк берет (эгерде параметрлер нөл болсо, анда ийри сызык чексиздикке кетет, ошондуктан нөлдүк маанилерге ачык тыюу салынат) спецификация). Java китепканалары ECDSA параметрлеринин нөл маанилерин текшерген эмес, ошондуктан нөлдүк параметрлери бар колдорду иштетүүдө Java аларды бардык учурларда жарактуу деп эсептейт).
Башка нерселер менен катар, алсыздыкты Java'да туура деп кабыл ала турган жасалма TLS сертификаттарын түзүү, ошондой эле WebAuthn аркылуу аутентификацияны айланып өтүү жана жасалма JWT кол тамгаларын жана OIDC белгилерин түзүү үчүн колдонсо болот. Башкача айтканда, алсыздык текшерүү үчүн стандарттуу java.security.* класстарын колдонгон Java иштеткичтеринде туура деп кабыл алынып, кабыл алынуучу универсалдуу сертификаттарды жана кол тамгаларды түзүүгө мүмкүндүк берет. Көйгөй Java 15, 16, 17 жана 18 филиалдарында пайда болот. Жасалма сертификаттарды түзүүнүн мисалы бар. jshell> import java.security.* jshell> var ачкычтары = KeyPairGenerator.getInstance("EC").generateKeyPair() ачкычтары ==> java.security.KeyPair@626b2d4a jshell> var blankSignature = жаңы байт[64] blankSignature ==> байт[64] { 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, … , 0, 0, 0, 0, 0, 0, 0, 0 } jshell > var sig = Signature.getInstance("SHA256WithECDSAinP1363Format") sig ==> Кол коюу объекти: SHA256WithECDSAinP1363Format jshell> sig.initVerify(keys.getPublic()) jshell> sig.update("Hello, World".getBytes()) jshell> sig.verify(blankSignature) $8 ==> true
- MySQL серверинде 26 кемчилик бар, алардын экөөнү алыстан колдонууга болот. OpenSSL жана protobuf колдонуу менен байланышкан эң олуттуу көйгөйлөргө 7.5 оордук даражасы ыйгарылган. Оптимизаторго, InnoDB, репликацияга, PAM плагинине, DDL, DML, FTS жана журналга жазылууга азыраак олуттуу кемчиликтер таасир этет. Маселелер MySQL Community Server 8.0.29 жана 5.7.38 чыгарылыштарында чечилген.
- VirtualBoxтагы 5 аялуу. Маселелерге 7.5тен 3.8ге чейинки оордук деңгээли ыйгарылган (эң коркунучтуу аялуу Windows платформасында гана пайда болот). Алсыздыктар VirtualBox 6.1.34 жаңыртуусунда оңдолгон.
- Solarisте 6 аялуу. Көйгөйлөр ядрого жана утилиталарга таасирин тийгизет. Коммуналдык тармактардагы эң олуттуу көйгөй болуп 8.2 кооптуулук деңгээли ыйгарылган. Алсыздыктар Solaris 11.4 SRU44 жаңыртуусунда чечилет.
Source: opennet.ru