首页 > 安全 > 正文

您在生产中使用Java 15/16/17或18吗?现在补丁他们!

最后更新 :2022.04.24

一位研究人员已发布Java中数字签名旁路漏洞的概念证明(POC)代码。

安全研究人员Khaled Nassar发布了新数字概念证明(POC)代码签名旁路脆弱性,以CVE-2022-21449(CVSS得分:7.5)为跟踪,在Java中。

脆弱性是由福格罗克研究人员尼尔·马登(Neil Madden)发现的,他于2021年11月11日通知了甲骨文。

一名未经身份验证的攻击者通过通过多个协议进行网络访问可以触发该问题,以损害Oracle Java SE,Oracle Graalvm Enterprise oracle Java SE,版。成功利用此漏洞可能会导致未经授权的创建,删除或修改关键数据或所有Oracle Java SE,Oracle Graalvm Enterprise Edition无访问数据。

缺陷影响以下版本的Java SE和Java SE和Java SE和Oracle Graalvm企业版:

Oracle Java SE:7U331,8U321,11.0.14,17.0.2,18oracle graalvm企业版:20.3.5,21.3.1,22.0.0.2

脆弱性被称为心理签名,位于椭圆形曲线数字签名算法(ECDSA)的Javas实施中。

允许呈现一个完全空白的签名,该签名被易受伤害的实施被认为是有效的。

成功剥削缺陷可以使攻击者能够实施签名和绕过身份验证措施。

纳萨尔(Nassar)证明了纳萨尔(Nassar)设置恶意TLS服务器可以欺骗客户接受服务器的无效签名,从而有效地允许其余的TLS握手继续进行。

Oracle通过2022年4月的关键补丁的发布解决了问题。更新(CPU)。
已经部署Java 15,Java 16,Java 17或18的组织应立即安装安全更新。

安全事务作为bEST欧洲网络安全博客作者颁奖2022投票给您的获奖者
在“弱者最佳个人(非商业)安全博客和Tech Whiz最佳技术博客和其他选择的其他节目中为我投票。提名。请访问: https://docs.google.com/forms/d/e/1faipqlsfxxr tocimimz9qm9iipumqic-iom-iom-npqmosfznjxrbqryjgcryjgcow/viewform/viewform

- END -

看更多