Java'da yeni açıklanan dijital imza atlama güvenlik açığını gösteren bir kavram kanıtlama (PoC) kodu çevrimiçi olarak paylaşıldı.
yüksek önemde kusur söz konusu CVE-2022-21449 (CVSS puanı: 7,5), Java SE ve Oracle GraalVM Enterprise Edition'ın aşağıdaki sürümlerini etkiler:
- Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18
- Oracle GraalVM Kurumsal Sürümü: 20.3.5, 21.3.1, 22.0.0.2
Sorun, Java'nın Eliptik Eğri Dijital İmza Algoritmasının (ECDSA), A kriptografik mekanizma ile dijital olarak imzala İçeriklerin orijinalliğini ve bütünlüğünü doğrulamak için mesajlar ve veriler.
Özetle, Java'da Psişik İmzalar olarak adlandırılan kriptografik hata, savunmasız uygulama tarafından hala geçerli olarak algılanacak tamamen boş bir imza sunulmasını mümkün kılıyor.
Kusurun başarılı bir şekilde kullanılması, saldırganın imzaları taklit etmesine ve uygulanan kimlik doğrulama önlemlerini atlamasına olanak tanıyabilir.
Güvenlik araştırmacısı Khaled Nassar tarafından yayınlanan PoC, içerir güvenlik açığı bulunan bir istemci ve kötü amaçlı bir TLS sunucusu; bunlardan ilki, sunucudan geçersiz bir imza kabul ederek etkin bir şekilde TLS anlaşması engelsiz devam etmek.
Kusuru 11 Kasım 2021'de keşfedip bildiren ForgeRock araştırmacısı Neil Madden, “Bu hatanın ciddiyetini abartmak zor” dedi. söz konusu.
“Bu güvenlik mekanizmalarından herhangi biri için ECDSA imzalarını kullanıyorsanız, sunucunuz herhangi bir Java 15, 16, 17 veya 18 sürümünü çalıştırıyorsa, saldırgan bunları önemsiz bir şekilde ve tamamen atlayabilir.”
Sorun, Oracle tarafından üç aylık Nisan 2022 Kritik Yama Güncellemesi (CPU) kapsamında çözüldü. piyasaya sürülmüş 19 Nisan 2022'de.
PoC'nin piyasaya sürülmesi ışığında, ortamlarında Java 15, Java 16, Java 17 veya Java 18 kullanan kuruluşların, aktif istismar girişimlerini azaltmak için yamalara öncelik vermeleri önerilir.