Java 发现年度加密漏洞,15/16/17/18 版本用户需尽快修复!
技术编辑:典典丨发自 思否编辑部
公众号:SegmentFault
近日,安全研究员 Khaled Nassar 在 GitHub 上公开了 Java 中新披露的数字签名绕过漏洞的 PoC 代码,其被追踪为CVE-2022-21449。
据了解,该漏洞由安全咨询公司 ForgeRock 研究员 Neil Madden 于去年 11 月发现,并于当天就将此情况通知了甲骨文(Oracle)。
尽管甲骨文给这个漏洞的 CVSS 评分只有 7.5,但 ForgeRock 表示,在这个漏洞被发现之初,他们已经私下披露了该漏洞,并将该漏洞的 CVSS 评为 10 分。
Madden 对此解释称:
“很难夸大这个漏洞的严重性。如果将 ECDSA 签名用于这些安全机制(SSL、JWT、WebAuthn)中的任何一个,并且你的服务器在 2022 年 4 月重要补丁更新 (CPU)之前运行的是 Java 15、16、17 或 18 版本,攻击者就可以轻而易举地完全绕过它们。现实世界中几乎所有的 WebAuthn/FIDO 设备(包括 Yubikey)都使用 ECDSA 签名,许多 OIDC 提供商使用 ECDSA 签名的 JWT。”
此外,信息安全专家 Thomas Ptacek 已经将该漏洞描述为“年度加密漏洞”。
该漏洞被称为 Psychic Signatures,与 Java 对椭圆曲线数字签名算法(ECDSA)的实现有关,存在于 Java 15、16、17、18 版本中。这是一种加密机制,用于对消息和数据进行数字签名,以验证内容的真实性,攻击者可利用此漏洞伪造 TSL 签名并绕过身份验证措施。
Nassar 证明称,设置恶意 TLS 服务器可以欺骗客户端接受来自服务器的无效签名,从而有效地允许 TLS 的其余部分继续进行。
该漏洞会影响以下版本的Java SE和Oracle GraalVM Enterprise Edition:
Oracle Java SE:7u331, 8u321, 11.0.14, 17.0.2, 18
Oracle GraalVM 企业版:20.3.5, 21.3.1, 22.0.0.2
关注公众号:拾黑(shiheibook)了解更多
赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 日元对人民币汇率2024年2月27日
- 卢布汇率人民币2023年5月18日
- 韩币对人民币汇率2023年5月14日
- 科技助“赌”、游戏增收?这季度的爱奇艺旺偏财
- 中国电子信息产业发展研究院副院长乔标:以提高供给质量为主攻方向 推动原材料工业高质量发展
- 主流价位的标杆之作!联想拯救者Y7000P 2022测评
- Meta:从移动技术发展和创新来预测元宇宙的潜在影响
- 网点欠薪30万上热搜,快递公司拖欠工资是否成常态?
- 不是愚人节玩笑,一键搞定 iPhone 掉电快的问题
- 俄罗斯禁止国家重要基础设施部门使用外国软件
- CSS中的混合模式,制作高级特效的必备技巧
- 【大公司创新情报】元宇宙遭“蹭热点、炒概念”:腾讯申请相关商标,多支概念股大涨