【安全资讯】Java 加密漏洞PoC代码公开,受影响的版本需尽快升级

admin 2022年4月27日08:41:04评论37 views字数 574阅读1分54秒阅读模式
【安全资讯】Java 加密漏洞PoC代码公开,受影响的版本需尽快升级

点击上方蓝字关注我们!


据Security affairs网站消息,4月21日,安全研究人员Khaled Nassar在Github上公开了Java中新披露的数字签名绕过漏洞的PoC代码,该漏洞被追踪为CVE-2022-21449(CVSS 分数:7.5)。


该漏洞被称为Psychic Signatures,与Java对椭圆曲线数字签名算法 ( ECDSA )实现有关,这是一种加密机制,用于对消息和数据进行数字签名,以验证内容的真实性和完整性。但Psychic Signatures导致的加密错误,能够允许呈现一个易受攻击的完全空白的签名,攻击者可以伪造签名并绕过身份验证措施。


Nassar证明,设置恶意TLS服务器可以欺骗客户端接受来自服务器的无效签名,从而有效地允许TLS握手的其余部分继续进行。


据悉,漏洞在去年11月就由ForgeRock 研究员Neil Madden发现,并于当天就通报给了甲骨文(Oracle),Madden表示,这个漏洞的严重性再怎么强调都不为过。


目前,甲骨文已在4月19日最新发布的4月补丁中修复了该漏洞,但由于PoC代码的公布,建议在环境中使用Java 15、Java 16、Java 17 以及 Java 18的系统组织尽快进行修复。


来源 | 安全圈

【安全资讯】Java 加密漏洞PoC代码公开,受影响的版本需尽快升级【安全资讯】Java 加密漏洞PoC代码公开,受影响的版本需尽快升级


原文始发于微信公众号(嘉诚安全):【安全资讯】Java 加密漏洞PoC代码公开,受影响的版本需尽快升级

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月27日08:41:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【安全资讯】Java 加密漏洞PoC代码公开,受影响的版本需尽快升级https://cn-sec.com/archives/948844.html

发表评论

匿名网友 填写信息