【漏洞预警】Java数字签名伪造漏洞
【漏洞预警】Java数字签名伪造漏洞
夜影实验室 锦行科技 2022-04-25 15:04
漏洞名称:
Java 数字签名伪造漏洞
影响范围:
Oracle Java SE 7u311
Oracle Java SE 11.0.14Oracle Java SE 17.0.2Oracle Java SE 18Oracle GraalVM Enterprise Edition 20.3.5Oracle GraalVM Enterprise Edition 21.3.1Oracle GraalVM Enterprise Edition 22.0.0.2
漏洞编号:
CVE-2022-21449
漏洞类型:
数字签名伪造
利用条件:
无
综合评价:
<利用难度>:低
<威胁等级>:
高危
#1
漏洞描述
ECDSA 即椭圆曲线数字签名算法(Elliptic Curve Digital Signature Algorithm),它是一种被广泛使用的标准,常用于应用程序和密码库。
该漏洞存在于Java的ECDSA签名算法的实现中,ECDSA算法是对消息进行签名和验证内容的真实性和完整性的加密机制。攻击者利用该漏洞可以伪造签名和绕过认证过程,攻击者可以轻易地伪造SSL证书类型和握手(允许通信的拦截和修改)、签名的JWT、SAML证明或OIDC ID token、甚至WebAuthn认证消息。
#2 解决方案
Oracle 2022年四月最新补丁,请尽快使用安全版本或者及时打上安全补丁。
#3 参考资料
https://www.oracle.com/security-alerts/cpuapr2022.html
https://github.com/khalednassar/CVE-2022-21449-TLS-PoC
推 荐 阅 读
多领域实力上榜!锦行科技入选安全牛《中国网络安全行业全景图》