據Security affairs網站消息,4月21日,安全研究人員Khaled Nassar在Github上公開了Java 中新披露的數字簽名繞過漏洞的PoC代碼,該漏洞被追蹤為CVE-2022-21449(CVSS 分數:7.5)。
漏洞的影響範圍主要涉及 Java SE 和 Oracle GraalVM 企業版的以下版本 :
Oracle Java SE:7u331、8u321、11.0.14、17.0.2、18
Oracle GraalVM 企業版:20.3.5、21.3.1、22.0.0.2
該漏洞被稱為 Psychic Signatures,與Java 對橢圓曲線數字簽名算法 ( ECDSA )實現有關,這是一種加密機制,用於對消息和數據進行數字簽名,以驗證內容的真實性和完整性。但Psychic Signatures導致的加密錯誤,能夠允許呈現一個易受攻擊的完全空白的簽名,攻擊者可以此利用偽造簽名並繞過身份驗證措施。
Nassar 證明,設置惡意 TLS 服務器可以欺騙客戶端接受來自服務器的無效簽名,從而有效地允許 TLS 握手的其餘部分繼續進行。
據悉,漏洞在去年11月就由 ForgeRock 研究員 Neil Madden 發現,並於當天就通報給了甲骨文(Oracle),Madden表示,這個漏洞的嚴重性再怎麼強調都不為過。
目前,甲骨文已在4月19日最新發布的4月補丁中修復了該漏洞,但由於PoC代碼的公布,建議在其環境中使用 Java 15、Java 16、Java 17 或 Java 18 的系統組織儘快修復。
參考來源
https://securityaffairs.co/wordpress/130522/security/poc-java-vulnerability-cve-2022-21449.html
精彩推薦
留言列表