Oracle විසින් සිය නිෂ්පාදන සඳහා නියමිත යාවත්කාලීන නිකුත් කිරීමක් (Critical Patch Update) ප්රකාශයට පත් කර ඇත, එය තීරණාත්මක ගැටළු සහ දුර්වලතා ඉවත් කිරීම අරමුණු කර ගෙන ඇත. අප්රේල් යාවත්කාලීනය මුළු අවදානම් 520ක් සවි කර ඇත.
සමහර ගැටළු:
- 6 Java SE හි ආරක්ෂක ගැටළු. සියලුම දුර්වලතා සත්යාපනයකින් තොරව දුරස්ථව ප්රයෝජනයට ගත හැකි අතර විශ්වාස කළ නොහැකි කේතයක් ක්රියාත්මක කිරීමට ඉඩ සලසන පරිසරයන්ට බලපායි. ගැටළු දෙකකට 7.5 ක බරපතල මට්ටමක් පවරා ඇත. ජාවා SE 18.0.1, 11.0.15, සහ 8u331 නිකුතු වල දුර්වලතා විසඳා ඇත.
එක් ගැටළුවක් (CVE-2022-21449) එය ජනනය කිරීමේදී ශුන්ය වක්ර පරාමිතීන් භාවිතා කරමින් ව්යාජ ECDSA ඩිජිටල් අත්සනක් ජනනය කිරීමට ඔබට ඉඩ සලසයි (පරාමිතීන් ශුන්ය නම්, වක්රය අනන්තයට යයි, එබැවින් ශුන්ය අගයන් පැහැදිලිවම තහනම් වේ. පිරිවිතර). ජාවා පුස්තකාල ECDSA පරාමිතිවල ශුන්ය අගයන් සඳහා පරීක්ෂා කළේ නැත, එබැවින් ශුන්ය පරාමිතීන් සමඟ අත්සන් සැකසීමේදී, ජාවා ඒවා සෑම අවස්ථාවකම වලංගු යැයි සැලකේ).
වෙනත් දේ අතර, ජාවා හි නිවැරදි ලෙස පිළිගනු ලබන ව්යාජ TLS සහතික උත්පාදනය කිරීමට මෙන්ම WebAuthn හරහා සත්යාපනය මඟ හැරීමට සහ ව්යාජ JWT අත්සන් සහ OIDC ටෝකන උත්පාදනය කිරීමට අවදානම භාවිතා කළ හැක. වෙනත් වචන වලින් කිවහොත්, අනාරක්ෂිත බව ඔබට විශ්වීය සහතික සහ අත්සන් උත්පාදනය කිරීමට ඉඩ සලසයි, ඒවා සත්යාපනය සඳහා සම්මත java.security.* පන්ති භාවිතා කරන ජාවා හසුරුවන්නන් තුළ නිවැරදි ලෙස පිළිගනු ලැබේ. ගැටළුව ජාවා ශාඛා 15, 16, 17 සහ 18 හි දිස්වේ. ව්යාජ සහතික ජනනය කිරීමේ උදාහරණයක් තිබේ. jshell> java.security ආනයනය කරන්න.* jshell> var යතුරු = KeyPairGenerator.getInstance("EC").generateKeyPair() යතුරු ==> java.security.KeyPair@626b2d4a jshell> var blankSignature = නව බයිටය[64] blankSignature => බයිට්[64] {0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, …, 0, 0, 0, 0, 0, 0, 0, 0 } jshell > var sig = Signature.getInstance("SHA256WithECDSAinP1363Format") sig ==> අත්සන වස්තුව: SHA256WithECDSAinP1363Format jshell> sig.initVerify(keys.getPublic()) jshell> sig.update("Hello, World".getBytes()) jshell> sig.verify(blankSignature) $8 ==> true
- MySQL සේවාදායකයේ ඇති දුර්වලතා 26ක්, ඉන් දෙකක් දුරස්ථව භාවිත කළ හැක. OpenSSL සහ protobuf භාවිතය හා සම්බන්ධ බරපතලම ගැටළු 7.5 ක බරපතල මට්ටමක් පවරා ඇත. ප්රශස්තකරණය, InnoDB, ප්රතිනිර්මාණය, PAM ප්ලගිනය, DDL, DML, FTS සහ logging වලට අඩු බරපතල දුර්වලතා බලපායි. MySQL Community Server 8.0.29 සහ 5.7.38 නිකුතු වල ගැටළු විසඳා ඇත.
- VirtualBox හි දුර්වලතා 5ක්. ගැටළු 7.5 සිට 3.8 දක්වා බරපතල මට්ටමක් පවරා ඇත (වඩාත්ම භයානක අවදානම වින්ඩෝස් වේදිකාවේ පමණක් දිස්වේ). VirtualBox 6.1.34 යාවත්කාලීනය තුළ දුර්වලතා සවි කර ඇත.
- Solaris හි දුර්වලතා 6ක්. ගැටළු කර්නලය සහ උපයෝගිතා වලට බලපායි. උපයෝගිතා වල ඇති බරපතලම ගැටළුව 8.2 අන්තරාදායක මට්ටමක් පවරා ඇත. Solaris 11.4 SRU44 යාවත්කාලීනය තුළ දුර්වලතා විසඳා ඇත.
මූලාශ්රය: opennet.ru