Java 加密漏洞 PoC 代码公开,受影响的版本需尽快升级
据Security affairs网站消息,4月21日,安全研究人员Khaled Nassar在Github上公开了Java 中新披露的数字签名绕过漏洞的PoC代码,该漏洞被追踪为CVE-2022-21449(CVSS 分数:7.5)。
漏洞的影响范围主要涉及 Java SE 和 Oracle GraalVM 企业版的以下版本 :
Oracle Java SE:7u331、8u321、11.0.14、17.0.2、18
Oracle GraalVM 企业版:20.3.5、21.3.1、22.0.0.2
该漏洞被称为 Psychic Signatures,与Java 对椭圆曲线数字签名算法 ( ECDSA )实现有关,这是一种加密机制,用于对消息和数据进行数字签名,以验证内容的真实性和完整性。但Psychic Signatures导致的加密错误,能够允许呈现一个易受攻击的完全空白的签名,攻击者可以此利用伪造签名并绕过身份验证措施。
Nassar 证明,设置恶意 TLS 服务器可以欺骗客户端接受来自服务器的无效签名,从而有效地允许 TLS 握手的其余部分继续进行。
据悉,漏洞在去年11月就由 ForgeRock 研究员 Neil Madden 发现,并于当天就通报给了甲骨文(Oracle),Madden表示,这个漏洞的严重性再怎么强调都不为过。
目前,甲骨文已在4月19日最新发布的4月补丁中修复了该漏洞,但由于PoC代码的公布,建议在其环境中使用 Java 15、Java 16、Java 17 或 Java 18 的系统组织尽快修复。
转自 FreeBuf,原文链接:https://www.freebuf.com/news/330953.html
封面来源于 *** ,如有侵权请联系删除
“Java 加密漏洞 PoC 代码公开,受影响的版本需尽快升级” 的相关文章
研究人员发现针对乌克兰的第 3 款擦除恶意软件
研究人员近日发现了针对乌克兰计算机的新型擦除恶意软件(以破坏关键文件和数据为目的),这是俄乌冲突以来发现的第 3 款擦除恶意软件。 这种被称为 CaddyWiper 的恶意软件是由总部位于斯洛伐克的网络安全公司 ESET 的研究人员发现的,他们在周一发布的推文中分享了细节。 据研究人员称,该...
谷歌解释野外攻击为何增加 浏览器安全形势在稳中向好
上周,Chrome Security 团队的 Adrian Taylor,在一篇谷歌安全博客文章中解释了“为何在野外被利用的 CVE 漏洞似乎有所增加”。对于这种漏洞利用的可见性增长趋势,归咎于多个方面的因素。而谷歌旗下的 Project Zero 团队,也有对包括 WebKit、IE、Flash、...
超过 350 万俄罗斯互联网用户的账户被攻破 增长速度冠绝全球
Surfshark的一项研究显示,自3月开始入侵乌克兰以来,俄罗斯账户被攻破的次数比2月多136%。反过来,乌克兰在黑客攻击中充当受害者的场景比战争前的那个季度少67%。这些数字很可能是由于黑客组织Anonymous在冲突开始时宣布它将特意针对俄罗斯的事实。 sandr Valentij说。”泄...
一款家用新冠检测电子试剂盒存在漏洞 可让用户伪造结果
一名安全研究人员发现了Cue Health公司家用COVID-19检测试剂盒的一个漏洞,可能会让用户伪造结果。Cue Health的COVID-19检测试剂盒是一种蓝牙操作的分子测试,可以在20分钟内检测出阳性标本。该系统使用鼻拭子测试冠状病毒,鼻拭子被插入一个一次性盒中,由电池供电的Cue阅读器进...
研究人员发现三个联想电脑的 UEFI 漏洞 影响规模可达数百万台
根据The Hacker News的报道,有三个高影响的统一可扩展固件接口(UEFI)安全漏洞被公布,即CVE-2021-3970、CVE-2021-3971和CVE-2021-3972,已被发现它们会影响联想的各种设备,如联想Flex、IdeaPads和Yoga笔记本电脑。 最初,CVE-202...
攻击者利用 DeFi 投票漏洞卷走 Beanstalk 近 1.82 亿美元加密货币
区块链分析公司 Peck Shield 于周日上午发布警告称,一名攻击者设法从 Beanstalk Farms 中提取了价值约 1.82 亿美元的加密货币。据悉,作为一个旨在平衡不同加密货币资产供需的去中心化金融(DeFi)项目,攻击者利用了 Beanstalk 的“多数投票治理系统”,这也是诸多...
发表评论
