اوریکل د خپلو محصولاتو (کریټیکل پیچ تازه) لپاره د تازه معلوماتو مهالویش خپور کړی ، چې هدف یې د جدي ستونزو او زیانونو له مینځه وړل دي. د اپریل تازه ټولټال 520 زیانونه له منځه یوړل.
ځینې ستونزې:
- په جاوا SE کې 6 امنیتي مسلې. ټولې زیانمننې پرته له تصدیق څخه په لیرې توګه کارول کیدی شي او چاپیریال اغیزه کوي چې د باور وړ کوډ اجرا کولو ته اجازه ورکوي. دوه مسلې د 7.5 د شدت کچه ټاکل شوې. زیانونه په جاوا SE 18.0.1، 11.0.15، او 8u331 ریلیزونو کې حل شوي.
یوه ستونزه (CVE-2022-21449) تاسو ته اجازه درکوي د صفر منحني پیرامیټونو په کارولو سره جعلي ECDSA ډیجیټل لاسلیک رامینځته کړئ کله چې دا تولید کړئ (که چیرې پیرامیټونه صفر وي ، نو وکر انفینیت ته ځي ، نو د صفر ارزښتونه په ښکاره ډول منع دي. مشخصات). د جاوا کتابتونونو د ECDSA پیرامیټرو بې ارزښته ارزښتونو لپاره ندي چک کړي، نو کله چې د ضعیف پیرامیټونو سره لاسلیکونه پروسس کوي، جاوا دوی په ټولو قضیو کې اعتبار لري).
د نورو شیانو په مینځ کې ، زیان منونکي د جعلي TLS سندونو رامینځته کولو لپاره کارول کیدی شي چې په جاوا کې به د سم په توګه ومنل شي ، په بیله بیا د WebAuthn له لارې د تصدیق کولو مخه ونیسي او جعلي JWT لاسلیکونه او OIDC ټوکنونه رامینځته کړي. په بل عبارت، زیانمنتیا تاسو ته اجازه درکوي نړیوال سندونه او لاسلیکونه رامینځته کړئ چې د جاوا هینډلرونو کې به ومنل شي او سم وګڼل شي چې د تصدیق لپاره معیاري java.security.* ټولګي کاروي. ستونزه د جاوا په څانګو 15، 16، 17 او 18 کې ښکاري. د جعلي سندونو د جوړولو یوه بیلګه شتون لري. jshell> import java.security.* jshell> var keys = KeyPairGenerator.getInstance("EC").generateKeyPair() keys ==> java.security.KeyPair@626b2d4a jshell> var blank Signature = نوی بایټ =>Signature => بايټ > var sig = Signature.getInstance("SHA64WithECDSAInP64Format") sig ==> د لاسلیک څیز: SHA0WithECDSAInP0Format jshell> sig.initVerify(keys.getPublic()) jshell> sig.update("Hello, World."getBytes()) jshell> sig.verify(blankSignature) $0 ==> ریښتیا
- په MySQL سرور کې 26 زیانونه، چې دوه یې په لیرې توګه کارول کیدی شي. د OpenSSL او protobuf کارولو سره تړلې ترټولو جدي ستونزې د 7.5 د شدت کچه ټاکل شوي. لږ سخت زیانونه د اصلاح کونکي، InnoDB، نقل، PAM پلگ ان، DDL، DML، FTS او لاګنګ اغیزه کوي. مسلې د MySQL ټولنې سرور 8.0.29 او 5.7.38 ریلیزونو کې حل شوې.
- په VirtualBox کې 5 زیانونه. مسلې د 7.5 څخه تر 3.8 پورې د شدت کچه ټاکل شوې (خورا خطرناک زیان یوازې د وینډوز پلیټ فارم کې څرګندیږي). زیانونه په VirtualBox 6.1.34 تازه کې ټاکل شوي.
- په سولاریس کې 6 زیانونه. ستونزې د کرنل او اسانتیاو اغیزه کوي. په اسانتیاو کې ترټولو جدي ستونزه د خطر کچه 8.2 ټاکل شوې. زیانونه د سولاریس 11.4 SRU44 تازه کې حل شوي.
سرچینه: opennet.ru