Oracle dia namoaka fanavaozam-baovao nomanina ho an'ny vokatra (Critical Patch Update), mikendry ny hanafoanana ny olana sy ny vulnerability. Ny fanavaozana tamin'ny volana aprily dia nanafoana ny vulnerability 520.
Olana sasany:
- 6 Olana fiarovana amin'ny Java SE. Ny vulnerabilities rehetra dia azo trandrahana lavitra tsy misy fanamarinana ary misy fiantraikany amin'ny tontolo mamela ny famonoana ny kaody tsy azo itokisana. Olana roa no nomena ny haavon'ny hamafin'ny 7.5. Ny vulnerabilities dia voavaha tamin'ny famoahana Java SE 18.0.1, 11.0.15 ary 8u331.
Ny iray amin'ireo olana (CVE-2022-21449) dia ahafahanao mamorona sonia nomerika ECDSA noforonina amin'ny alΓ lan'ny mari-pamantarana curve zero rehefa mamorona azy (raha aotra ny mari-pamantarana, dia mankany amin'ny tsy manam-petra ny curve, ka voarara mazava ny sanda zero ny specification). Ny tranomboky Java dia tsy nanamarina ny soatoavina tsy misy dikany amin'ny mari-pamantarana ECDSA, ka rehefa manamboatra sonia miaraka amin'ny masontsivana tsy misy dikany, Java dia nihevitra azy ireo ho manan-kery amin'ny tranga rehetra).
Ankoatra ny zavatra hafa, ny vulnerability dia azo ampiasaina hamoronana mari-pankasitrahana TLS foronina izay ho ekena ao Java ho marina, ary koa handosirana ny fanamarinana amin'ny alΓ lan'ny WebAuthn ary hamorona sonia JWT sy famantarana OIDC. Raha lazaina amin'ny teny hafa, ny vulnerability dia ahafahanao mamorona mari-pankasitrahana sy sonia manerantany izay ekena sy ho raisina ho marina amin'ny mpitantana Java izay mampiasa kilasy java.security.* mahazatra ho an'ny fanamarinana. Ny olana dia miseho ao amin'ny sampana Java 15, 16, 17 ary 18. Misy ohatra iray amin'ny famoronana taratasy fanamarinana sandoka. jshell> import java.security.* jshell> var keys = KeyPairGenerator.getInstance("EC").generateKeyPair() keys ==> java.security.KeyPair@626b2d4a jshell> var blankSignature = new byte[64] blankSignature ==> byte[64] { 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, β¦ , 0, 0, 0, 0, 0, 0, 0, 0 } jshell > var sig = Signature.getInstance("SHA256WithECDSAInP1363Format") sig ==> Zavatra sonia: SHA256WithECDSAInP1363Format jshell> sig.initVerify(keys.getPublic()) jshell> sig.update("Hello, World".getBytes()) jshell> sig.verify(blankSignature) $8 ==> marina
- 26 vulnerability ao amin'ny mpizara MySQL, ny roa amin'izy ireo dia azo trandrahana lavitra. Ny olana lehibe indrindra mifandraika amin'ny fampiasana OpenSSL sy protobuf dia omena ny haavon'ny fahasarotana 7.5. Ny vulnerabilities kely kokoa dia misy fiantraikany amin'ny optimizer, InnoDB, replication, PAM plugin, DDL, DML, FTS ary logging. Ny olana dia voavaha tao amin'ny MySQL Community Server 8.0.29 sy 5.7.38 famoahana.
- 5 vulnerability ao amin'ny VirtualBox. Ny olana dia omena ny haavon'ny henjana manomboka amin'ny 7.5 ka hatramin'ny 3.8 (ny vulnerability mampidi-doza indrindra dia tsy hita afa-tsy amin'ny sehatra Windows). Ny vulnerabilities dia raikitra amin'ny fanavaozana VirtualBox 6.1.34.
- 6 vulnerability ao amin'ny Solaris. Ny olana dia misy fiantraikany amin'ny kernel sy ny fitaovana. Ny olana lehibe indrindra amin'ny fitaovana dia nomena ny haavon'ny loza 8.2. Ny vulnerabilities dia voavaha amin'ny fanavaozana Solaris 11.4 SRU44.
Source: opennet.ru