Java 发现年度加密漏洞,15/16/17/18 版本用户需尽快修复!
技术编辑:典典丨发自 思否编辑部
公众号:SegmentFault
近日,安全研究员 Khaled Nassar 在 GitHub 上公开了 Java 中新披露的数字签名绕过漏洞的 PoC 代码,其被追踪为CVE-2022-21449。
据了解,该漏洞由安全咨询公司 ForgeRock 研究员 Neil Madden 于去年 11 月发现,并于当天就将此情况通知了甲骨文(Oracle)。
尽管甲骨文给这个漏洞的 CVSS 评分只有 7.5,但 ForgeRock 表示,在这个漏洞被发现之初,他们已经私下披露了该漏洞,并将该漏洞的 CVSS 评为 10 分。
Madden 对此解释称:
“很难夸大这个漏洞的严重性。如果将 ECDSA 签名用于这些安全机制(SSL、JWT、WebAuthn)中的任何一个,并且你的服务器在 2022 年 4 月重要补丁更新 (CPU)之前运行的是 Java 15、16、17 或 18 版本,攻击者就可以轻而易举地完全绕过它们。现实世界中几乎所有的 WebAuthn/FIDO 设备(包括 Yubikey)都使用 ECDSA 签名,许多 OIDC 提供商使用 ECDSA 签名的 JWT。”
此外,信息安全专家 Thomas Ptacek 已经将该漏洞描述为“年度加密漏洞”。
该漏洞被称为 Psychic Signatures,与 Java 对椭圆曲线数字签名算法(ECDSA)的实现有关,存在于 Java 15、16、17、18 版本中。这是一种加密机制,用于对消息和数据进行数字签名,以验证内容的真实性,攻击者可利用此漏洞伪造 TSL 签名并绕过身份验证措施。
Nassar 证明称,设置恶意 TLS 服务器可以欺骗客户端接受来自服务器的无效签名,从而有效地允许 TLS 的其余部分继续进行。
该漏洞会影响以下版本的Java SE和Oracle GraalVM Enterprise Edition:
Oracle Java SE:7u331, 8u321, 11.0.14, 17.0.2, 18
Oracle GraalVM 企业版:20.3.5, 21.3.1, 22.0.0.2


关注公众号:拾黑(shiheibook)了解更多
赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

随时掌握互联网精彩
- Strapi 开源且高度可定制的CMS
- 拥有200万+用户的Telegram消息转发机器人@livegrambot未经用户同意发送广告
- 5·17看“浙”里 | 报名入口开启!直达通道→
- RTX 4090移动版性能曝光:提升幅度高达263.1%?
- 笔记本电脑迎来折叠潮?
- 疫情之下,4万人跨越30国的高效协作是什么体验?
- 微信回应在后台反复读取用户相册;淘特将接入微信支付;Facebook为一周两次宕机道歉|极客头条
- 如何平衡兴趣与收入 —— 听尤雨溪访谈有感
- 修图神器『美图秀秀』上线统信UOS
- AI 落后要挨打的苹果,5 年疯狂收购 25 家人工智能公司!
- 巴西为苹果出难题,iPhone要不要配备充电器出售?
- 【直播】统信UOS&openEuler开源社区技术研讨会