研究员针对最近的Java加密漏洞发布PoC

在线共享了一段概念验证（PoC）代码，该代码演示了Java中新披露的数字签名绕过漏洞。

所讨论的高严重性缺陷CVE-2022-21449（CVSS分数：7.5）影响Java SE和Oracle GraalVM Enterprise Edition的以下版本

• Oracle Java SE:7u331、8u321、11.0.14、17.0.2、18
• Oracle GraalVM企业版：20.3.5、21.3.1、22.0.0.2

问题在于Java对椭圆曲线数字签名算法（ECDSA）的实现，ECDSA是一种加密机制，用于对消息和数据进行数字签名，以验证内容的真实性和完整性。

简而言之，密码错误，Java，使提供一个完全空白的签名成为可能，但易受攻击的实现仍会认为该签名有效。

成功利用该漏洞可使攻击者伪造签名并绕过已实施的身份验证措施。

安全研究员Khaled Nassar发布的PoC涉及一个易受攻击的客户端和一个恶意的TLS服务器，前者接受来自服务器的无效签名，有效地允许TLS握手不受阻碍地继续。

ForgeRock研究员尼尔·马登（NeilMadden）于2021 11月11日发现并报告了该漏洞，他说：“很难夸大该漏洞的严重性”。

“如果您正在为这些安全机制中的任何一种使用ECDSA签名，那么如果您的服务器运行的是Java 15、16、17或18版本，则攻击者可以轻松地完全绕过这些签名”。

此后，Oracle在2022年4月19日发布的2022年4月季度关键补丁更新（CPU）中解决了该问题。

根据PoC的发布，建议在其环境中使用Java 15、Java 16、Java 17或Java 18的组织对补丁进行优先排序，以减少主动攻击尝试。