一位研究人员发布了 Java 中数字签名绕过漏洞的概念验证 (PoC) 代码。
安全研究员 Khaled Nassar 发布了一个新的数字签名绕过漏洞的概念验证 (PoC) 代码,在 Java 中被跟踪为CVE-2022-21449 (CVSS 分数:7.5)。

该漏洞由 ForgeRock 研究员 Neil Madden 发现,并于 2021 年 11 月 11 日通知甲骨文。
通过多种协议进行网络访问的未经身份验证的攻击者可以触发该问题,从而破坏 Oracle Java SE、Oracle GraalVM 企业版。成功利用此漏洞可能导致对关键数据或所有 Oracle Java SE、Oracle GraalVM 企业版可访问数据的未经授权的创建、删除或修改访问。
该漏洞影响 Java SE 和 Oracle GraalVM 企业版的以下版本:

Oracle Java SE:7u331、8u321、11.0.14、17.0.2、18
Oracle GraalVM 企业版:20.3.5、21.3.1、22.0.0.2
该漏洞被称为 Psychic Signatures,位于 Java 的椭圆曲线数字签名算法 (ECDSA) 的实现中。

该漏洞允许呈现一个完全空白的签名,该签名被易受攻击的实现接受为有效。

成功利用该漏洞可能允许攻击者伪造签名并绕过已实施的身份验证措施。

Nassar 证明,设置恶意 TLS 服务器可以欺骗客户端接受来自服务器的无效签名,从而有效地允许 TLS 握手的其余部分继续进行。

Oracle 通过发布2022 年 4 月的重要补丁更新 (CPU) 解决了该问题。

已在生产中部署 Java 15、Java 16、Java 17 或 18 的组织应立即安装安全更新。

标签: none

添加新评论