Java’da yeni açıklanan bir dijital imza atlama güvenlik açığını gösteren bir kavram kanıtı (PoC) kodu çevrimiçi olarak paylaşıldı.
bu yüksek önemdeki kusur söz konusu, CVE-2022-21449 (CVSS puanı: 7.5), Java SE ve Oracle GraalVM Enterprise Edition’ın aşağıdaki sürümünü etkiler –
- Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18
- Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2
Sorun, Java’nın Eliptik Eğri Dijital İmza Algoritmasını (ECDSA), a kriptografik mekanizma ile dijital olarak imzala içeriğin orijinalliğini ve bütünlüğünü doğrulamak için mesajlar ve veriler.
Özetle, Java’da Psişik İmzalar olarak adlandırılan kriptografik gaf, savunmasız uygulama tarafından hala geçerli olarak algılanacak olan tamamen boş bir imza sunmayı mümkün kılar.
Kusurun başarılı bir şekilde kullanılması, bir saldırganın imzaları taklit etmesine ve uygulanan kimlik doğrulama önlemlerini atlamasına izin verebilir.
Güvenlik araştırmacısı Khaled Nassar tarafından yayınlanan The PoC içerir güvenlik açığı bulunan bir istemci ve kötü niyetli bir TLS sunucusu; bunlardan birincisi sunucudan geçersiz bir imzayı kabul ederek etkin bir şekilde TLS anlaşması engelsiz devam etmek.
Kusuru 11 Kasım 2021’de keşfeden ve bildiren ForgeRock araştırmacısı Neil Madden, “Bu hatanın ciddiyetini abartmak zor,” dedi. dedim.
“Bu güvenlik mekanizmalarından herhangi biri için ECDSA imzaları kullanıyorsanız, sunucunuz herhangi bir Java 15, 16, 17 veya 18 sürümünü çalıştırıyorsa, saldırgan bunları önemsiz ve tamamen atlayabilir.”
Sorun o zamandan beri Oracle tarafından üç aylık Nisan 2022 Kritik Yama Güncellemesinin (CPU) bir parçası olarak ele alındı. yayınlandı 19 Nisan 2022’de.
PoC’nin piyasaya sürülmesi ışığında, ortamlarında Java 15, Java 16, Java 17 veya Java 18 kullanan kuruluşların, aktif istismarı azaltmak için yamalara öncelik vermeleri önerilir.