ఒరాకిల్ క్లిష్టమైన సమస్యలు మరియు దుర్బలత్వాలను తొలగించే లక్ష్యంతో దాని ఉత్పత్తులకు (క్రిటికల్ ప్యాచ్ అప్డేట్) షెడ్యూల్ చేసిన విడుదలను ప్రచురించింది. ఏప్రిల్ నవీకరణ మొత్తం 520 దుర్బలత్వాలను పరిష్కరించింది.
కొన్ని సమస్యలు:
- జావా SEలో 6 భద్రతా సమస్యలు. అన్ని దుర్బలత్వాలను ప్రామాణీకరణ లేకుండా రిమోట్గా ఉపయోగించుకోవచ్చు మరియు నమ్మదగని కోడ్ని అమలు చేయడానికి అనుమతించే పర్యావరణాలను ప్రభావితం చేయవచ్చు. రెండు సమస్యలకు 7.5 తీవ్రత స్థాయిని కేటాయించారు. జావా SE 18.0.1, 11.0.15 మరియు 8u331 విడుదలలలో దుర్బలత్వాలు పరిష్కరించబడ్డాయి.
సమస్యల్లో ఒకటి (CVE-2022-21449) సృష్టించేటప్పుడు సున్నా కర్వ్ పారామితులను ఉపయోగించి కల్పిత ECDSA డిజిటల్ సంతకాన్ని రూపొందించడానికి మిమ్మల్ని అనుమతిస్తుంది (పారామితులు సున్నా అయితే, వక్రరేఖ అనంతానికి వెళుతుంది, కాబట్టి సున్నా విలువలు స్పష్టంగా నిషేధించబడ్డాయి స్పెసిఫికేషన్). జావా లైబ్రరీలు ECDSA పారామితుల యొక్క శూన్య విలువలను తనిఖీ చేయలేదు, కాబట్టి శూన్య పారామితులతో సంతకాలను ప్రాసెస్ చేస్తున్నప్పుడు, జావా వాటిని అన్ని సందర్భాల్లో చెల్లుబాటు అయ్యేదిగా పరిగణించింది).
ఇతర విషయాలతోపాటు, జావాలో సరైనదిగా ఆమోదించబడే కల్పిత TLS సర్టిఫికేట్లను రూపొందించడానికి, అలాగే WebAuthn ద్వారా ప్రామాణీకరణను దాటవేయడానికి మరియు కల్పిత JWT సంతకాలు మరియు OIDC టోకెన్లను రూపొందించడానికి దుర్బలత్వం ఉపయోగించబడుతుంది. మరో మాటలో చెప్పాలంటే, ధృవీకరణ కోసం ప్రామాణిక java.security.* తరగతులను ఉపయోగించే జావా హ్యాండ్లర్లలో ఆమోదించబడే మరియు సరైనవిగా గుర్తించబడే సార్వత్రిక ప్రమాణపత్రాలు మరియు సంతకాలను రూపొందించడానికి దుర్బలత్వం మిమ్మల్ని అనుమతిస్తుంది. సమస్య జావా బ్రాంచ్లు 15, 16, 17 మరియు 18లో కనిపిస్తుంది. నకిలీ సర్టిఫికేట్లను రూపొందించడానికి ఒక ఉదాహరణ అందుబాటులో ఉంది. jshell> java.securityని దిగుమతి చేయండి.* jshell> var కీలు = KeyPairGenerator.getInstance("EC").generateKeyPair() కీలు ==> java.security.KeyPair@626b2d4a jshell> var blankSignature = కొత్త బైట్[64] blankSignature => బైట్[64] { 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, … , 0, 0, 0, 0, 0, 0, 0, 0 } jshell > var sig = Signature.getInstance("SHA256WithECDSAinP1363Format") sig ==> సంతకం వస్తువు: SHA256WithECDSAinP1363Format jshell> sig.initVerify(keys.getPublic()) jshell> sig.update("Hello, World".getBytes()) jshell> sig.verify(blankSignature) $8 ==> నిజం
- MySQL సర్వర్లో 26 దుర్బలత్వాలు, వాటిలో రెండు రిమోట్గా ఉపయోగించబడతాయి. OpenSSL మరియు ప్రోటోబఫ్ వాడకంతో సంబంధం ఉన్న అత్యంత తీవ్రమైన సమస్యలు 7.5 తీవ్రత స్థాయిని కేటాయించాయి. తక్కువ తీవ్రమైన దుర్బలత్వాలు ఆప్టిమైజర్, InnoDB, రెప్లికేషన్, PAM ప్లగిన్, DDL, DML, FTS మరియు లాగింగ్ను ప్రభావితం చేస్తాయి. MySQL కమ్యూనిటీ సర్వర్ 8.0.29 మరియు 5.7.38 విడుదలలలో సమస్యలు పరిష్కరించబడ్డాయి.
- VirtualBoxలో 5 దుర్బలత్వాలు. సమస్యలు 7.5 నుండి 3.8 వరకు తీవ్రత స్థాయిని కేటాయించబడతాయి (అత్యంత ప్రమాదకరమైన దుర్బలత్వం Windows ప్లాట్ఫారమ్లో మాత్రమే కనిపిస్తుంది). VirtualBox 6.1.34 నవీకరణలో దుర్బలత్వాలు పరిష్కరించబడ్డాయి.
- సోలారిస్లో 6 దుర్బలత్వాలు. సమస్యలు కెర్నల్ మరియు యుటిలిటీలను ప్రభావితం చేస్తాయి. యుటిలిటీలలో అత్యంత తీవ్రమైన సమస్య 8.2 ప్రమాద స్థాయిని కేటాయించింది. సోలారిస్ 11.4 SRU44 అప్డేట్లో దుర్బలత్వాలు పరిష్కరించబడ్డాయి.
మూలం: opennet.ru