Oracle, Java’nın daha yeni sürümlerinde, rakiplerin güvenlik sertifikaları, dijital imzalar, iki faktörlü kimlik doğrulama mesajları ve yetkilendirme kimlik bilgileri oluşturmak için yararlanabileceği kritik bir güvenlik açığını yamaladı. Güvenlik düzeltmesi dahil edildi Nisan 2022 Kritik Yama Güncellemesi geçen hafta yayınlandı.
Sorun (CVE-2022-21449), Eliptik Eğri Dijital İmza Algoritmasının Java 15, 16, 17 ve 18 sürümlerinde uygulanma biçiminde mevcuttur. Savunucular, hangi Java sürümünü çalıştırdıklarını kontrol etmeli ve güncellemelidir. Java 15 ve 16 artık desteklenmiyor ve sorun Java 17.0.3 ve 18.0.1’de düzeltildi.
1. Kontrol Et ve Güncelle: Komutla hangi Java sürümünün çalıştığını kontrol edin java sürümü (veya java.exe -sürüm Windows’ta).
Java Development Kit’in (JDK) ve Java Runtime Environment’ın (JRE) farklı sürümleri olabileceğinden, sistemde aynı anda birden fazla Java sürümünün yüklü olması mümkün olduğundan manuel olarak kontrol etmeye değer.
Java 15 ve daha yeni sürümlerin benimsenmesi oldukça düşük kaldığından, birçok kuruluş için güvenlik açığının yalnızca en son sürümlerde bulunması iyi bir haber olabilir.
2. Tavsiyelere Dikkat Edin: Java yaygın olarak kullanılmaktadır, bu nedenle kurumsal ekiplerin, uygulama ve cihaz üreticilerinin etkilenip etkilenmediklerine ilişkin tavsiyelerine dikkat etmesi ve gerektiğinde güncelleme yapması gerekecektir. Güvenlik açığı yalnızca İnternet üzerinden erişilebilen Java sunucularını ve istemci yazılımını etkilemekle kalmaz, dijital olarak imzalanmış verilere dayanan herhangi bir cihaz, dahili bir cihaz olsa bile potansiyel olarak etkilenir.
Kusurun Detayları
ECDSA, mesajların kimliğini doğrulamak için eliptik eğri şifreleme kullanır. ECDSA’daki eksik bir akıl sağlığı kontrolü, rakiplerin tamamen sıfırlarla dolu bir bellek arabelleği sunarak imza kontrolünden geçebileceği anlamına gelir. Bu, rakiplerin kolayca TLS sertifikaları ve el sıkışmaları oluşturabileceği anlamına gelir, bu da iletişimin ele geçirilmesine ve potansiyel olarak değiştirilmesine neden olabilir, diye yazdı. Neil Madden, güvenlik açığını keşfeden ForgeRock araştırmacısı. Geçerli dijital imzayı eşleştirmek için bir saldırganın özel anahtarı bulmaya çalışmasına gerek yoktur.
Madden, güvenlik açığının “gerçek dünyadaki neredeyse tüm WebAuthn/FIDO cihazlarını” ve Yubikey’leri (bazıları ECDSA kullanan) etkilediğini yazdı. “Birçok OIDC sağlayıcısı ayrıca ECDSA imzalı JWT’ler kullanır.”
Daha Yeni Sürümlerle Sınırlı
Kasım ayında, Madden hatayı Oracle’a bildirdiğinde, ForgeRock müşterilere iki geçici çözüm sağladı – ürünleri Java 11 ile dağıtmak veya Java Sanal Makinesini tercih edilen şifreleme sağlayıcısı olarak Bouncy Castle’ı kullanacak şekilde yapılandırmak.
Güvenlik açığının yalnızca daha yeni sürümlerde mevcut olması, Java 15 ve daha yeni sürümler için benimseme oranları oldukça düşük kaldığından, bu kusurun etkisinin azaltılabileceği anlamına gelebilir. Beşinci Geliştirici Ekosistem AnketiTemmuz 2021’de yayınlanan , geliştiricilerin yalnızca %14’ünün Java 15’i (anketin yapıldığı tarihteki en son sürüm) kullandığını buldu. En yaygın kullanılan sürüm %72 ile Java 8, onu %42 ile Java 11 takip ediyor. Java 11, uzun vadeli destek sürümüydü.
Oracle, 10 üzerinden 7,5’lik bir önem derecesi derecelendirmesi vermiş olsa da, Madden, “bir erişim yönetimi bağlamında farklı işlevler üzerindeki çok çeşitli etkiler nedeniyle” ciddiyetin 10 olması gerektiğini söyledi. Kusurun “olduğuna dair iddialar var.yılın kripto böceği.“