【漏洞预警】Java数字签名伪造漏洞
漏洞名称:
Java 数字签名伪造漏洞
影响范围:
Oracle Java SE 7u311
Oracle Java SE 11.0.14
Oracle Java SE 17.0.2
Oracle Java SE 18
Oracle GraalVM Enterprise Edition 20.3.5
Oracle GraalVM Enterprise Edition 21.3.1
Oracle GraalVM Enterprise Edition 22.0.0.2
漏洞编号:
CVE-2022-21449
漏洞类型:
数字签名伪造
利用条件:
无
综合评价:
<利用难度>:低
<威胁等级>:高危
#1 漏洞描述
ECDSA 即椭圆曲线数字签名算法(Elliptic Curve Digital Signature Algorithm),它是一种被广泛使用的标准,常用于应用程序和密码库。
该漏洞存在于Java的ECDSA签名算法的实现中,ECDSA算法是对消息进行签名和验证内容的真实性和完整性的加密机制。攻击者利用该漏洞可以伪造签名和绕过认证过程,攻击者可以轻易地伪造SSL证书类型和握手(允许通信的拦截和修改)、签名的JWT、SAML证明或OIDC ID token、甚至WebAuthn认证消息。
#2 解决方案
Oracle 2022年四月最新补丁,请尽快使用安全版本或者及时打上安全补丁。
#3 参考资料
https://www.oracle.com/security-alerts/cpuapr2022.html
https://github.com/khalednassar/CVE-2022-21449-TLS-PoC
https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/
多领域实力上榜!锦行科技入选安全牛《中国网络安全行业全景图》
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
锦行科技
关注网络尖刀微信公众号随时掌握互联网精彩
- 1 为基层减负赋能 促干部实干担当 7927580
- 2 泽连斯基:停火至少需要20万维和人员 7924697
- 3 冷冷冷 多地将冻成这样“紫” 7831345
- 4 两新扩围落地实施 带动产销两旺 7798676
- 5 一想到28号全员洗头就想笑 7625477
- 6 刘畅彻底黑化 7502637
- 7 身体这几个表现说明你太累了 7451995
- 8 赵今麦 00后的黑历史都是高清的 7348899
- 9 原来快递停运比双十一更有吸引力 7282386
- 10 刘烨13岁女儿近照 7154212
