Oracle شايع ڪيو آهي هڪ شيڊول جاري ڪيل تازه ڪاريون پنهنجي پروڊڪٽس (تنقيدي پيچ اپڊيٽ)، جنهن جو مقصد نازڪ مسئلن ۽ ڪمزورين کي ختم ڪرڻ آهي. اپريل جي اپڊيٽ مجموعي طور تي 520 ڪمزورين کي مقرر ڪيو.
ڪجھ مسئلا:
- جاوا SE ۾ 6 سيڪيورٽي مسئلا. سڀني ڪمزورين کي بغير ڪنهن تصديق جي دور کان استعمال ڪري سگهجي ٿو ۽ ماحول کي متاثر ڪري ٿو جيڪو ناقابل اعتبار ڪوڊ جي عمل جي اجازت ڏئي ٿو. ٻن مسئلن کي 7.5 جي شدت جي سطح مقرر ڪيو ويو آهي. جاوا SE 18.0.1، 11.0.15، ۽ 8u331 رليز ۾ ڪمزورين کي حل ڪيو ويو آهي.
هڪ مسئلو (CVE-2022-21449) توهان کي هڪ جعلي ECDSA ڊجيٽل دستخط پيدا ڪرڻ جي اجازت ڏئي ٿو صفر وکر پيرا ميٽر استعمال ڪندي جڏهن ان کي پيدا ڪيو وڃي (جيڪڏهن پيرا ميٽر صفر آهن، پوء وکر لامحدود ڏانهن وڃي ٿو، تنهنڪري صفر قدر واضح طور تي منع ٿيل آهن. وضاحت). جاوا لائبرريون ECDSA پيرا ميٽرز جي null قدرن جي جانچ نه ڪنديون آھن، تنھنڪري جڏھن null parameters سان دستخطن کي پروسيس ڪري، جاوا انھن کي سڀني صورتن ۾ صحيح سمجھي).
ٻين شين جي وچ ۾، خطري کي استعمال ڪري سگهجي ٿو جعلي TLS سرٽيفڪيٽ ٺاهڻ لاءِ جيڪي جاوا ۾ صحيح طور تي قبول ڪيا ويندا، انهي سان گڏ WebAuthn ذريعي تصديق کي نظرانداز ڪرڻ ۽ جعلي JWT دستخط ۽ OIDC ٽوڪن ٺاهي. ٻين لفظن ۾، ڪمزوري توهان کي آفاقي سرٽيفڪيٽ ۽ دستخط پيدا ڪرڻ جي اجازت ڏئي ٿي جيڪي جاوا هينڊلرن ۾ قبول ڪيا ويندا ۽ صحيح سمجهيا ويندا جيڪي معياري java.security.* ڪلاس استعمال ڪندا آهن. مسئلو جاوا شاخن 15، 16، 17 ۽ 18 ۾ ظاهر ٿئي ٿو. جعلي سرٽيفڪيٽ ٺاهڻ جو هڪ مثال موجود آهي. jshell> درآمد ڪريو java.security.* jshell> var چابيون = KeyPairGenerator.getInstance("EC").generateKeyPair() ڪيز ==> java.security.KeyPair@626b2d4a jshell> var blankSignature = نئين بائيٽ => blankSignature => 64 بائيٽ [64] { 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, …, 0, 0, 0, 0, 0, 0, 0, 256 } jshell > var sig = Signature.getInstance("SHA1363WithECDSAInP256Format") sig ==> دستخطي اعتراض: SHA1363WithECDSAInP8Format jshell> sig.initVerify(keys.getPublic()) jshell> sig.update("هيلو، ورلڊ."getBytes()) jshell> sig.verify(blankSignature) $XNUMX ==> صحيح
- MySQL سرور ۾ 26 ڪمزوريون، جن مان ٻه استحصال ڪري سگھجن ٿا. OpenSSL ۽ protobuf جي استعمال سان لاڳاپيل سڀ کان وڌيڪ سنگين مسئلا 7.5 جي شدت جي سطح مقرر ڪيا ويا آهن. گھٽ سخت خطرات اصلاح ڪندڙ، InnoDB، نقل، PAM پلگ ان، DDL، DML، FTS ۽ لاگنگ کي متاثر ڪن ٿا. مسئلا حل ڪيا ويا MySQL ڪميونٽي سرور 8.0.29 ۽ 5.7.38 رليز ۾.
- VirtualBox ۾ 5 ڪمزوريون. مسئلن کي 7.5 کان 3.8 تائين شدت جي سطح مقرر ڪيو ويو آهي (سڀ کان وڌيڪ خطرناڪ نقصان صرف ونڊوز پليٽ فارم تي ظاهر ٿئي ٿو). VirtualBox 6.1.34 اپڊيٽ ۾ ڪمزورين کي مقرر ڪيو ويو آهي.
- سولاريس ۾ 6 ڪمزوريون. مسئلا ڪنيل ۽ افاديت کي متاثر ڪن ٿا. افاديت ۾ سڀ کان وڌيڪ سنگين مسئلو 8.2 جي خطري جي سطح مقرر ڪئي وئي آهي. سولاريس 11.4 SRU44 اپڊيٽ ۾ ڪمزورين کي حل ڪيو ويو آهي.
جو ذريعو: opennet.ru