CVE-2022-21449 “Psychic Signatures”

[Bot]

1401/02/02

یک کد اثبات مفهوم (POC) نشان دادن یک آسیب پذیری دیجیتال دیجیتال به تازگی افشا شده در جاوا به اشتراک گذاشته شده است.

ضعف شدت بالا در مورد سوال، CVE-2022-21449 (امتیاز CVSS: 7.5)، نسخه زیر از جاوا SE و اوراکل Graalvm Enterprise Edition را تحت تاثیر قرار می دهد -

• اوراکل جاوا SE: 7U331، 8U321، 11.0.14، 17.0.2، 18
• اوراکل Graalvm Enterprise Edition: 20.3.5، 21.3.1، 22.0.0.2

مسئله در اجرای الگوریتم دیجیتال دیجیتال منحنی دیجیتال بیضوی قرار دارد ( ECDSA )، مکانیزم رمزنگاری به دیجیتالی علامت پیام ها و داده ها برای تأیید صحت و یکپارچگی محتویات.

به طور خلاصه، اشتباه رمزنگاری - امضاء رمزنگاری در جاوا - امکان ارائه یک امضا کاملا خالی را فراهم می کند که هنوز هم توسط پیاده سازی آسیب پذیر معتبر می شود.

بهره برداری موفقیت آمیز از نقص می تواند مهاجم را مجبور کند که امضا کند و اقدامات احراز هویت را در محل قرار دهد.

POC، منتشر شده توسط پژوهشگر امنیتی، خالد ناصر شامل یک سرویس گیرنده آسیب پذیر و سرور TLS مخرب، سابق که یک امضای نامعتبر از سرور را قبول می کند، به طور موثر اجازه می دهد TLS Handshake برای ادامه unimpeded.

گفت: .

"اگر از امضاهای ECDSA برای هر یک از این مکانیسم های امنیتی استفاده می کنید، مهاجم می تواند به صورت بی اهمیت و به طور کامل از آنها دور شود، اگر سرور شما هر نسخه Java 15، 16، 17 یا 18 را اجرا کند."

این مسئله از آن زمان توسط اوراکل به عنوان بخشی از سه ماهه چهارم ماه آوریل 2022 به روز رسانی پچ بحرانی (CPU) مورد توجه قرار گرفته استa href="https://www.oracle.com/security-alerts/cpuapr2022.html"> منتشر شده در 19 آوریل، 2022.

با توجه به انتشار POC، سازمان هایی که از جاوا 15، جاوا 16، جاوا 17 استفاده می کنند، یا جاوا 18 در محیط های خود توصیه می شود تا اولویت بندی تکه ها را برای کاهش بهره برداری فعال انجام دهید.