Oracle нашри нақшавии навсозиро ба маҳсулоти худ (Critical Patch Update) нашр кард, ки ба рафъи мушкилоти ҷиддӣ ва осебпазирӣ нигаронида шудааст. Навсозии моҳи апрел дар маҷмӯъ 520 осебпазириро ислоҳ кард.
Баъзе мушкилот:
- 6 Масъалаҳои амниятӣ дар Java SE. Ҳама осебпазириҳо метавонанд ба таври фосилавӣ бидуни аутентификатсия истифода шаванд ва ба муҳитҳое таъсир расонанд, ки иҷрои коди нобоварро имкон медиҳанд. Ба ду масъала дараҷаи вазнинии 7.5 дода шудааст. Осебиятҳо дар версияҳои Java SE 18.0.1, 11.0.15 ва 8u331 ҳал карда шудаанд.
Яке аз мушкилот (CVE-2022-21449) ба шумо имкон медиҳад, ки имзои рақамии тахайюлии ECDSA-ро бо истифода аз параметрҳои каҷи сифр ҳангоми тавлиди он тавлид кунед (агар параметрҳо сифр бошанд, пас каҷ ба беохир меравад, аз ин рӯ қиматҳои сифрӣ дар мушаххасот). Китобхонаҳои Java арзиши нули параметрҳои ECDSA-ро тафтиш накарданд, аз ин рӯ ҳангоми коркарди имзоҳо бо параметрҳои нул, Java онҳоро дар ҳама ҳолатҳо дуруст мешуморад).
Дар байни чизҳои дигар, осебпазириро барои тавлиди сертификатҳои тахайюлии TLS, ки дар Java дуруст қабул карда мешаванд, инчунин барои гузаштан аз аутентификатсия тавассути WebAuthn ва тавлиди имзоҳои қалбакии JWT ва аломатҳои OIDC истифода бурдан мумкин аст. Ба ибораи дигар, осебпазирӣ ба шумо имкон медиҳад, ки сертификатҳо ва имзоҳои универсалӣ тавлид кунед, ки дар коркардкунандагони Java, ки синфҳои стандартии java.security.*-ро барои тафтиш истифода мебаранд, ҳамчун дуруст қабул ва қабул карда мешаванд. Мушкилот дар филиалҳои Java 15, 16, 17 ва 18 пайдо мешавад. Намунаи тавлиди шаҳодатномаҳои қалбакӣ мавҷуд аст. jshell> import java.security.* jshell> калидҳои var = KeyPairGenerator.getInstance("EC").generateKeyPair() калидҳо ==> java.security.KeyPair@626b2d4a jshell> var blankSignature = байт нав[64] blankSignature ==> байт[64] { 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, … , 0, 0, 0, 0, 0, 0, 0, 0 } jshell > var sig = Signature.getInstance("SHA256WithECDSAinP1363Format") sig ==> Объекти имзо: SHA256WithECDSAinP1363Format jshell> sig.initVerify(keys.getPublic()) jshell> sig.update("Салом, Ҷаҳон".getBytes()) jshell> sig.verify(blankSignature) $8 ==> true
- 26 осебпазирӣ дар сервери MySQL, ки дутои онҳоро метавон аз фосилаи дур истифода бурд. Мушкилоти ҷиддитарине, ки бо истифодаи OpenSSL ва protobuf алоқаманданд, дараҷаи вазнинии 7.5 таъин карда мешаванд. Осебҳои камтари ҷиддӣ ба оптимизатор, InnoDB, репликатсия, плагини PAM, DDL, DML, FTS ва сабткунӣ таъсир мерасонанд. Масъалаҳо дар версияҳои MySQL Community Server 8.0.29 ва 5.7.38 ҳал карда шуданд.
- 5 осебпазирӣ дар VirtualBox. Саволҳо дараҷаи вазнинӣ аз 7.5 то 3.8 таъин карда мешаванд (заифии аз ҳама хатарнок танҳо дар платформаи Windows пайдо мешавад). Осиятҳо дар навсозии VirtualBox 6.1.34 ислоҳ карда шудаанд.
- 6 осебпазирӣ дар Solaris. Мушкилот ба ядро ва утилитҳо таъсир мерасонанд. Мушкилоти ҷиддитарин дар шабакаҳои коммуналӣ дараҷаи хатари 8.2 муқаррар шудааст. Осебиятҳо дар навсозии Solaris 11.4 SRU44 ҳал карда мешаванд.
Манбаъ: opennet.ru