close

關鍵詞



漏洞


據Security affairs網站消息,4月21日,安全研究人員Khaled Nassar在Github上公開了Java 中新披露的數字簽名繞過漏洞的PoC代碼,該漏洞被追蹤為CVE-2022-21449(CVSS 分數:7.5)。

漏洞的影響範圍主要涉及 Java SE 和 Oracle GraalVM 企業版的以下版本 :
Oracle Java SE:7u331、8u321、11.0.14、17.0.2、18
Oracle GraalVM 企業版:20.3.5、21.3.1、22.0.0.2

該漏洞被稱為 Psychic Signatures,與Java 對橢圓曲線數字簽名算法 ( ECDSA )實現有關,這是一種加密機制,用於對消息和數據進行數字簽名,以驗證內容的真實性和完整性。但Psychic Signatures導致的加密錯誤,能夠允許呈現一個易受攻擊的完全空白的簽名,攻擊者可以此利用偽造簽名並繞過身份驗證措施。

Nassar 證明,設置惡意 TLS 服務器可以欺騙客戶端接受來自服務器的無效簽名,從而有效地允許 TLS 握手的其餘部分繼續進行。
據悉,漏洞在去年11月就由 ForgeRock 研究員 Neil Madden 發現,並於當天就通報給了甲骨文(Oracle),Madden表示,這個漏洞的嚴重性再怎麼強調都不為過。

目前,甲骨文已在4月19日最新發布的4月補丁中修復了該漏洞,但由於PoC代碼的公布,建議在其環境中使用 Java 15、Java 16、Java 17 或 Java 18 的系統組織儘快修復。


END


閱讀推薦


【安全圈】昆明一女子出於好奇,購買虛擬礦機挖「FlL」幣被騙17萬





【安全圈】美國運營商T-Mobile遭黑客入侵併被竊取其源代碼





【安全圈】北美國家財政系統遭勒索攻擊:稅務海關停擺






安全圈

←掃碼關注我們

網羅圈內熱點 專注網絡安全

實時資訊一手掌握!


好看你就分享 有用就點個讚

支持「安全圈」就點個三連吧!

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()