Un code de preuve de concept (PoC) d\u00e9montrant une vuln\u00e9rabilit\u00e9 de contournement de signature num\u00e9rique r\u00e9cemment r\u00e9v\u00e9l\u00e9e dans Java a \u00e9t\u00e9 partag\u00e9 en ligne. <\/p>\n
Le faille de grande gravit\u00e9<\/a> Dans la question, CVE-2022-21449<\/a> (score CVSS\u00a0: 7,5), affecte la version suivante de Java SE et Oracle GraalVM Enterprise Edition –<\/p>\n Le probl\u00e8me r\u00e9side dans l’impl\u00e9mentation par Java de l’algorithme de signature num\u00e9rique \u00e0 courbe elliptique (ECDSA<\/a>), un m\u00e9canisme cryptographique<\/a> pour signer num\u00e9riquement<\/a> messages et donn\u00e9es permettant de v\u00e9rifier l’authenticit\u00e9 et l’int\u00e9grit\u00e9 du contenu.<\/p>\n En un mot, la b\u00e9vue cryptographique – surnomm\u00e9e Psychic Signatures en Java – permet de pr\u00e9senter une signature totalement vierge, qui serait toujours per\u00e7ue comme valide par l’impl\u00e9mentation vuln\u00e9rable.<\/p>\n L’exploitation r\u00e9ussie de la faille pourrait permettre \u00e0 un attaquant de falsifier des signatures et de contourner les mesures d’authentification mises en place.<\/p>\n Le PoC, publi\u00e9 par le chercheur en s\u00e9curit\u00e9, Khaled Nassar implique<\/a> un client vuln\u00e9rable et un serveur TLS malveillant, dont le premier accepte une signature invalide du serveur, permettant effectivement au Prise de contact TLS<\/a> continuer sans entrave.<\/p>\n “Il est difficile d’exag\u00e9rer la gravit\u00e9 de ce bogue”, a d\u00e9clar\u00e9 le chercheur de ForgeRock Neil Madden, qui a d\u00e9couvert et signal\u00e9 la faille le 11 novembre 2021, mentionn\u00e9<\/a>.<\/p>\n “Si vous utilisez des signatures ECDSA pour l’un de ces m\u00e9canismes de s\u00e9curit\u00e9, un attaquant peut les contourner de mani\u00e8re triviale et compl\u00e8te si votre serveur ex\u00e9cute une version Java 15, 16, 17 ou 18.”<\/p>\n Le probl\u00e8me a depuis \u00e9t\u00e9 r\u00e9solu par Oracle dans le cadre de sa mise \u00e0 jour trimestrielle du correctif critique (CPU) d’avril 2022. publi\u00e9<\/a> le 19 avril 2022.<\/p>\n \u00c0 la lumi\u00e8re de la publication du PoC, il est recommand\u00e9 aux organisations qui utilisent Java 15, Java 16, Java 17 ou Java 18 dans leurs environnements de hi\u00e9rarchiser les correctifs pour att\u00e9nuer l’exploitation active.<\/p>\n <\/p>\n<\/div>\n\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Nouveau-Wiper-Malware-ciblant-lUkraine-dans-le-cadre-de-loperation.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/Un-chercheur-publie-un-PoC-pour-une-recente-vulnerabilite-cryptographique.gif\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n