Oracle Java SE 输入验证错误漏洞安全通告

admin 2022年4月26日00:33:07安全漏洞评论7 views896字阅读2分59秒阅读模式

Oracle Java SE 输入验证错误漏洞安全通告

近日,沈阳网络安全协会信息通报机制合作单位新华三集团(H3C)提醒,Oracle官方发布了4月的安全更新公告,其中Oracle Java SE输入验证错误漏洞(CVE-2022-21449)的利用细节已被公开。由于该漏洞利用方式简单,影响范围较大,请受影响用户尽快安装更新补丁,以免受到影响。

1漏洞综述

1.1 漏洞背景

Oracle Java SE是美国甲骨文(Oracle)公司的一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。

1.2 漏洞原理

该漏洞是由于Oracle官方在最近Java版本中对ECDSA算法的代码进行了重写,重写后的ECDSA签名算法没有检查r和s为0的情况,导致Java SE在使用自带的ECDSA算法进行签名校验时被绕过。成功利用该漏洞的恶意攻击者能够拦截(读取和更改)加密通信,在某些情况下还可以绕过身份验证。

1.3 漏洞复现

使用受影响版本Java SE搭建网站,分别发送不带签名的JWT令牌和带有错误签名的JWT令牌,访问网站失败:

Oracle Java SE 输入验证错误漏洞安全通告

发送带有特殊签名的JWT令牌,访问成功:

Oracle Java SE 输入验证错误漏洞安全通告

2影响范围

Oracle Java SE: 17.0.2, 18

Oracle GraalVM Enterprise Edition: 21.3.1, 22.0.0.2

3处置方法

3.1 官方补丁

目前官方发布更新补丁,请受影响用户及时关注并尽快更新,官方链接:https://www.oracle.com/security-alerts/cpuapr2022.html

3.2  H3C解决方案

1、新华三安全设备防护方案

新华三IPS规则库将在1.0.180版本支持对该漏洞的识别,H3C全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量,并进行主动拦截。

2、态势感知产品解决方案

新华三态势感知产品已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。

3、新华三云安全能力中心解决方案

新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。

Oracle Java SE 输入验证错误漏洞安全通告

原文始发于微信公众号(沈阳网络安全协会):Oracle Java SE 输入验证错误漏洞安全通告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月26日00:33:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Oracle Java SE 输入验证错误漏洞安全通告 http://cn-sec.com/archives/941778.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: