ஆரக்கிள் தனது தயாரிப்புகளுக்கான புதுப்பிப்புகளின் திட்டமிடப்பட்ட வெளியீட்டை வெளியிட்டுள்ளது (கிரிட்டிகல் பேட்ச் அப்டேட்), இது முக்கியமான பிரச்சனைகள் மற்றும் பாதிப்புகளை நீக்குவதை நோக்கமாகக் கொண்டது. ஏப்ரல் புதுப்பிப்பு மொத்தம் 520 பாதிப்புகளை சரி செய்தது.
சில பிரச்சனைகள்:
- ஜாவா SE இல் 6 பாதுகாப்புச் சிக்கல்கள். அனைத்து பாதிப்புகளும் அங்கீகாரம் இல்லாமல் தொலைதூரத்தில் பயன்படுத்தப்படலாம் மற்றும் நம்பத்தகாத குறியீட்டை செயல்படுத்த அனுமதிக்கும் சூழல்களை பாதிக்கலாம். இரண்டு சிக்கல்களுக்கு தீவிரத்தன்மை அளவு 7.5 ஒதுக்கப்பட்டுள்ளது. Java SE 18.0.1, 11.0.15 மற்றும் 8u331 வெளியீடுகளில் பாதிப்புகள் தீர்க்கப்பட்டுள்ளன.
சிக்கல்களில் ஒன்று (CVE-2022-21449) அதை உருவாக்கும் போது பூஜ்ஜிய வளைவு அளவுருக்களைப் பயன்படுத்தி கற்பனையான ECDSA டிஜிட்டல் கையொப்பத்தை உருவாக்க உங்களை அனுமதிக்கிறது (அளவுருக்கள் பூஜ்ஜியமாக இருந்தால், வளைவு முடிவிலிக்கு செல்கிறது, எனவே பூஜ்ஜிய மதிப்புகள் வெளிப்படையாக தடைசெய்யப்பட்டுள்ளன. விவரக்குறிப்பு). ஜாவா நூலகங்கள் ECDSA அளவுருக்களின் பூஜ்ய மதிப்புகளைச் சரிபார்க்கவில்லை, எனவே பூஜ்ய அளவுருக்களுடன் கையொப்பங்களை செயலாக்கும்போது, ஜாவா அவை எல்லா நிகழ்வுகளிலும் செல்லுபடியாகும் என்று கருதுகிறது).
மற்றவற்றுடன், ஜாவாவில் சரியானதாக ஏற்றுக்கொள்ளப்படும் கற்பனையான TLS சான்றிதழ்களை உருவாக்கவும், WebAuthn வழியாக அங்கீகாரத்தைத் தவிர்க்கவும் மற்றும் கற்பனையான JWT கையொப்பங்கள் மற்றும் OIDC டோக்கன்களை உருவாக்கவும் இந்த பாதிப்பு பயன்படுத்தப்படலாம். வேறு வார்த்தைகளில் கூறுவதானால், உறுதியான java.security.* வகுப்புகளை சரிபார்ப்பதற்காக பயன்படுத்தும் ஜாவா ஹேண்ட்லர்களில் ஏற்றுக்கொள்ளப்படும் மற்றும் சரியானதாக உணரப்படும் உலகளாவிய சான்றிதழ்கள் மற்றும் கையொப்பங்களை உருவாக்க பாதிப்பு உங்களை அனுமதிக்கிறது. ஜாவா கிளைகள் 15, 16, 17 மற்றும் 18 இல் சிக்கல் தோன்றுகிறது. போலி சான்றிதழ்களை உருவாக்குவதற்கான உதாரணம் கிடைக்கிறது. jshell> jva.security ஐ இறக்குமதி செய் பைட்[626] {2, 4, 64, 64, 0, 0, 0, 0, 0, 0, 0, 0, 0, … , 0, 0, 0, 0, 0, 0, 0, 0 } jshell > var sig = Signature.getInstance("SHA0WithECDSAinP0Format") sig ==> கையொப்ப பொருள்: SHA0WithECDSAinP0Format jshell> sig.initVerify(keys.getPublic()) jshell> sig.update("Hello, World".getBytes()) jshell> sig.verify(blankSignature) $256 ==> true
- MySQL சர்வரில் உள்ள 26 பாதிப்புகள், அவற்றில் இரண்டை தொலைவிலிருந்து பயன்படுத்திக் கொள்ளலாம். OpenSSL மற்றும் protobuf இன் பயன்பாட்டுடன் தொடர்புடைய மிகவும் தீவிரமான சிக்கல்கள் 7.5 இன் தீவிரத்தன்மைக்கு ஒதுக்கப்பட்டுள்ளன. குறைவான கடுமையான பாதிப்புகள் ஆப்டிமைசர், இன்னோடிபி, ரெப்ளிகேஷன், பிஏஎம் செருகுநிரல், டிடிஎல், டிஎம்எல், எஃப்டிஎஸ் மற்றும் லாக்கிங் ஆகியவற்றைப் பாதிக்கின்றன. MySQL Community Server 8.0.29 மற்றும் 5.7.38 வெளியீடுகளில் சிக்கல்கள் தீர்க்கப்பட்டன.
- VirtualBox இல் 5 பாதிப்புகள். சிக்கல்களுக்கு 7.5 முதல் 3.8 வரை தீவிர நிலை ஒதுக்கப்பட்டுள்ளது (மிகவும் ஆபத்தான பாதிப்பு விண்டோஸ் இயங்குதளத்தில் மட்டுமே தோன்றும்). VirtualBox 6.1.34 புதுப்பிப்பில் பாதிப்புகள் சரி செய்யப்பட்டுள்ளன.
- சோலாரிஸில் 6 பாதிப்புகள். சிக்கல்கள் கர்னல் மற்றும் பயன்பாடுகளை பாதிக்கின்றன. பயன்பாடுகளில் மிகவும் தீவிரமான பிரச்சனை 8.2 ஆபத்து நிலை ஒதுக்கப்பட்டுள்ளது. Solaris 11.4 SRU44 மேம்படுத்தலில் பாதிப்புகள் தீர்க்கப்படுகின்றன.
ஆதாரம்: opennet.ru