甲骨文修复 Java “年度加密漏洞”,影响 Java 15 及以上版本

频道:行业资讯 日期: 浏览:185

  

甲骨文于昨日推送了安全更新修复了一个漏洞,该漏洞允许攻击者伪造某些种类的SSL证书和握的手,双因素认证信息,以及由一系列广泛使用的开放标准产生的授权凭证。这使得攻击者可以轻松地对文件和其他数据进行数字签名。

甲骨文修复 Java “年度加密漏洞”,影响 Java 15 及以上版本

该漏洞影响了Java 15及以上版本中对ECDSA(椭圆曲线数字签名算法)的实现.ECDSA是一种利用椭圆曲线密码学原理对信息进行数字认证的算法。与RSA或其他加密算法相比,ECDSA的一个关键优势是它生成的密钥较小,非常适合用于包括基于狗的两足总,从小型和OpenID等标准。

这个漏洞的CVE ID为CVE - 2022 - 21449,最初是由ForgeRock安全研究员尼尔·马登所发现的,他在漏洞说明中写道:

  

如果你在这些安全机制中使用ECDSA签名,并且如果你的服务器在2022年4月关键补丁更新(CPU)之前运行任何Java 15, 16, 17或18版本,攻击者就可以轻而易举地完全绕过它们。如今几乎所有的WebAuthn/狗设备(包括Yubikeys)都使用ECDSA签名,许多OIDC提供商也在使用ECDSA签名的JWT。

  

Madden指出,上述这些受影响的Java版本主要是因为它们未能检查ECDSA中的两个关键变量,以确保它们是非零的。

ECDSA签名依赖于一个伪随机数,通常表示为K,用于推导两个额外的数字R和S要验证签名是否有效,必须检查涉及R和S的等式。当等式两边相等时,签名才有效。为了使过程正常工作,R和S都不能为零。

这是因为如果值都是0,等式两边将始终相等,签名也就一直有效。这意味着只需提交一个空白签名即可成功通过验证检查。

这个错误是由相关代码从c++改写成Java时引入的,漏洞最早可以追溯到2020年Java 15发布的时候。该虫在去年11月就已被发现并报告给了甲骨文,而甲骨文在推出的4月关键补丁更新(CPU)中修复了该问题。

甲骨文在通用漏洞评分系统(普通危险得分系统)中将该漏洞的严重性评级为7.5(满分10分),但马登根据他自己的评估,认为该漏洞的严重性评级为10分。除了马登认为该漏洞十分严重,另一位安全专家托马斯“更是将该漏洞评为<强>“年度加密漏洞”(今年密码错误)。

甲骨文修复 Java “年度加密漏洞”,影响 Java 15 及以上版本

目前Java 15及以上版本并没有像Java早期版本那样被开发者广泛使用。安全公司Snyk在2021年统计的数据显示,当Java 15时仅占了12%的份额。

甲骨文修复 Java “年度加密漏洞”,影响 Java 15 及以上版本

0 留言

评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
验证码