点击上方蓝字关注我们!
据Security affairs网站消息,4月21日,安全研究人员Khaled Nassar在Github上公开了Java中新披露的数字签名绕过漏洞的PoC代码,该漏洞被追踪为CVE-2022-21449(CVSS 分数:7.5)。
该漏洞被称为Psychic Signatures,与Java对椭圆曲线数字签名算法 ( ECDSA )实现有关,这是一种加密机制,用于对消息和数据进行数字签名,以验证内容的真实性和完整性。但Psychic Signatures导致的加密错误,能够允许呈现一个易受攻击的完全空白的签名,攻击者可以伪造签名并绕过身份验证措施。
Nassar证明,设置恶意TLS服务器可以欺骗客户端接受来自服务器的无效签名,从而有效地允许TLS握手的其余部分继续进行。
据悉,漏洞在去年11月就由ForgeRock 研究员Neil Madden发现,并于当天就通报给了甲骨文(Oracle),Madden表示,这个漏洞的严重性再怎么强调都不为过。
目前,甲骨文已在4月19日最新发布的4月补丁中修复了该漏洞,但由于PoC代码的公布,建议在环境中使用Java 15、Java 16、Java 17 以及 Java 18的系统组织尽快进行修复。
来源 | 安全圈
原文始发于微信公众号(嘉诚安全):【安全资讯】Java 加密漏洞PoC代码公开,受影响的版本需尽快升级
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论