我們擅長(zhǎng)商業(yè)策略與用戶體驗(yàn)的完美結(jié)合。
歡迎瀏覽我們的案例。
據(jù) Security affairs 網(wǎng)站消息,4 月 21 日,安全研究人員 Khaled Nassar 在 Github 上公開了 Java 中新披露的數(shù)字簽名繞過漏洞的 PoC 代碼,該漏洞被追蹤為 CVE-2022-21449(CVSS 分?jǐn)?shù):7.5)。
漏洞的影響范圍主要涉及 Java SE 和 Oracle GraalVM 企業(yè)版的以下版本 :
Oracle Java SE:7u331、8u321、11.0.14、17.0.2、18
Oracle GraalVM 企業(yè)版:20.3.5、21.3.1、22.0.0.2
該漏洞被稱為 Psychic Signatures,與 Java 對(duì)橢圓曲線數(shù)字簽名算法 ( ECDSA )實(shí)現(xiàn)有關(guān),這是一種加密機(jī)制,用于對(duì)消息和數(shù)據(jù)進(jìn)行數(shù)字簽名,以驗(yàn)證內(nèi)容的真實(shí)性和完整性。但 Psychic Signatures 導(dǎo)致的加密錯(cuò)誤,能夠允許呈現(xiàn)一個(gè)易受攻擊的完全空白的簽名,攻擊者可以此利用偽造簽名并繞過身份驗(yàn)證措施。
Nassar 證明,設(shè)置惡意 TLS 服務(wù)器可以欺騙客戶端接受來自服務(wù)器的無效簽名,從而有效地允許 TLS 握手的其余部分繼續(xù)進(jìn)行。
據(jù)悉,漏洞在去年 11 月就由 ForgeRock 研究員 Neil Madden 發(fā)現(xiàn),并于當(dāng)天就通報(bào)給了甲骨文(Oracle),Madden 表示,這個(gè)漏洞的嚴(yán)重性再怎么強(qiáng)調(diào)都不為過。
目前,甲骨文已在 4 月 19 日最新發(fā)布的 4 月補(bǔ)丁中修復(fù)了該漏洞,但由于 PoC 代碼的公布,建議在其環(huán)境中使用 Java 15、Java 16、Java 17 或 Java 18 的系統(tǒng)組織盡快修復(fù)。
(邯鄲小程序開發(fā))
小米應(yīng)用商店發(fā)布消息稱 持續(xù)開展“APP 侵害用戶權(quán)益治理”系列行動(dòng) 11:37:04
騰訊云與CSIG成立政企業(yè)務(wù)線 加速數(shù)字技術(shù)在實(shí)體經(jīng)濟(jì)中的落地和應(yīng)用 11:34:49
樂視回應(yīng)還有400多人 期待新的朋友加入 11:29:25
亞馬遜表示 公司正在將其智能購(gòu)物車擴(kuò)展到馬薩諸塞州的一家全食店 10:18:04
三星在元宇宙平臺(tái)推出游戲 玩家可收集原材料制作三星產(chǎn)品 09:57:29
特斯拉加州San Mateo裁減229名員工 永久關(guān)閉該地區(qū)分公司 09:53:13
