Java’da yeni açıklanan bir dijital imza atlama güvenlik açığını gösteren bir kavram kanıtı (PoC) kodu çevrimiçi olarak paylaşıldı.
bu yüksek önemdeki kusur söz konusu, CVE-2022-21449 (CVSS puanı: 7.5), Java SE ve Oracle GraalVM Enterprise Edition’ın aşağıdaki sürümünü etkiler –
- Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18
- Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2
Sorun, Java’nın Eliptik Eğri Dijital İmza Algoritmasını (ECDSA), a kriptografik mekanizma ile dijital olarak imzala içeriğin orijinalliğini ve bütünlüğünü doğrulamak için mesajlar ve veriler.
Özetle, Java’da Psişik İmzalar olarak adlandırılan kriptografik gaf, savunmasız uygulama tarafından hala geçerli olarak algılanacak olan tamamen boş bir imza sunmayı mümkün kılar.
Kusurun başarılı bir şekilde kullanılması, bir saldırganın imzaları taklit etmesine ve uygulanan kimlik doğrulama önlemlerini atlamasına izin verebilir.
Güvenlik araştırmacısı Khaled Nassar tarafından yayınlanan The PoC içerir güvenlik açığı bulunan bir istemci ve kötü niyetli bir TLS sunucusu; bunlardan birincisi sunucudan geçersiz bir imzayı kabul ederek etkin bir şekilde TLS anlaşması engelsiz devam etmek.
Kusuru 11 Kasım 2021’de keşfeden ve bildiren ForgeRock araştırmacısı Neil Madden, “Bu hatanın ciddiyetini abartmak zor,” dedi. dedim.
“Bu güvenlik mekanizmalarından herhangi biri için ECDSA imzaları kullanıyorsanız, sunucunuz herhangi bir Java 15, 16, 17 veya 18 sürümünü çalıştırıyorsa, saldırgan bunları önemsiz ve tamamen atlayabilir.”
Sorun o zamandan beri Oracle tarafından üç aylık Nisan 2022 Kritik Yama Güncellemesinin (CPU) bir parçası olarak ele alındı. yayınlandı 19 Nisan 2022’de.
PoC’nin piyasaya sürülmesi ışığında, ortamlarında Java 15, Java 16, Java 17 veya Java 18 kullanan kuruluşların, aktif istismarı azaltmak için yamalara öncelik vermeleri önerilir.
Popular Articles
- 15 Aug Türk Kızılaydan Havza MYOda tanıtım ve gönüllü kazanım çalışması
- 24 Jul 13 Yaşında Evlenen Neslihan Üzerinden Ailelere Seslendi: Çocuklarınızı Bir Nasılsın?dan Mahrum Bırakmayın
- 07 Aug Fransaya 1 Sayı Farkla Yenildikten Sonra Gözyaşlarını Tutamayan Cedi Osmanın Performansına Tepkiler
- 26 Jul İstanbul Arel Üniversitesi 75 Akademik Personel Alıyor
- 11 Aug Fiyatı düşürmek için kahveye öyle bir şey koyuyorlarmış ki, mide bulandırıcı! Şahit olduklarını detaylarıyla anlattı
Latest Articles
- 17 Aug Bir Adam, 1.760 Dolarlık Çalıntı Bisikleti 104 Dolara Satın Alıp Sahibine Ulaştırdı
- 11 Jul BİM, 18 Kasım’dan İtibaren iPhone 7’yi Satışa Çıkarıyor!
- 19 Aug Robert Downey Jr., Nanoteknoloji ile Dünyayı Temizlemek İstiyor
- 17 Jul Zabıt kâtibinden ‘Seçil Erzan’ tarzı savunma: Altın yumurtlayan tavuktum
- 19 Aug İstanbuldaki hastanede akılalmaz olay: Sedyede yatarken ayağa kalkıp doktora saldırdı