Oracle Java SE 身份认证绕过漏洞预警
作者: 时间:2022-04-29 点击数:
(CVE-2022-21449)
一、概要
政务云关注到
Oracle
官方发布
2022
年第一季度重要安全补丁公告,披露了在Oracle Java SE 特定的高版本中存在一处身份认证绕过漏洞( CVE-2022-21449 )。 ECDSA 是基于椭圆曲线的数字签名算法,在特定的 Java SE 高版本中的 ECDSA 签名校验机制存在缺陷,攻击者可以伪证书、签名、双因子认证等授权凭证,实现身份认证绕过。目前漏洞细节已公开,风险高。Java SE 是 Java 的标准版,主要用于桌面应用开发,同时也是 Java 的基础。政务云提醒使用 Java SE 的用户及时安排自检并做好安全加固。
参考链接:
https://www.oracle.com/security-alerts/cpuapr2022.html
https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、 影响范围
影响版本:
Oracle Java SE 17.0.2
Oracle Java SE 18
Oracle GraalVM Enterprise Edition 21.3.1
Oracle GraalVM Enterprise Edition 22.0.0.2
四、安全建议
注:修复漏洞前请将资料和数据进行备份,并与客户应用供应商和维护方确认并进行充分测试。
1
、官方已发布安全补丁更新,需用户持有正版软件的许可账号,登陆https://support.oracle.com 后,下载最新补丁
中国云政务云运营与交付部安全运营中心
2022
年
4
月
25
日