据Security affairs网站消息，4月21日，安全研究人员Khaled Nassar在Github上公开了Java 中新披露的数字签名绕过漏洞的PoC代码，该漏洞被追踪为CVE-2022-21449（CVSS 分数：7.5）。

漏洞的影响范围主要涉及 Java SE 和 Oracle GraalVM 企业版的以下版本 ：

Oracle Java SE：7u331、8u321、11.0.14、17.0.2、18

Oracle GraalVM 企业版：20.3.5、21.3.1、22.0.0.2

该漏洞被称为 Psychic Signatures，与Java 对椭圆曲线数字签名算法 ( ECDSA )实现有关，这是一种加密机制，用于对消息和数据进行数字签名，以验证内容的真实性和完整性。但Psychic Signatures导致的加密错误，能够允许呈现一个易受攻击的完全空白的签名，攻击者可以此利用伪造签名并绕过身份验证措施。

Nassar 证明，设置恶意 TLS 服务器可以欺骗客户端接受来自服务器的无效签名，从而有效地允许 TLS 握手的其余部分继续进行。

据悉，漏洞在去年11月就由 ForgeRock 研究员 Neil Madden 发现，并于当天就通报给了甲骨文（Oracle），Madden表示，这个漏洞的严重性再怎么强调都不为过。

目前，甲骨文已在4月19日最新发布的4月补丁中修复了该漏洞，但由于PoC代码的公布，建议在其环境中使用 Java 15、Java 16、Java 17 或 Java 18 的系统组织尽快修复。

声明：本文相关资讯来自FreeBuf.COM，版权归作者所有，转载目的在于传递更多信息。如有侵权，请联系本站删除。

专题推荐

警惕“未知发布者”应用，软件代码签名证书帮助远离恶意软件

选择SSL证书前需要注意什么？怎么申请？

网站选择哪类SSL证书性价比最高？

最新资讯

工信部：推动建立工业互联网安全分类分级管理制度

电子签名助力企业数字化转型，怎么签署电子签名你知道吗？

网络钓鱼事件频发，网络安全须重视，如何防范网络钓鱼攻击？

CA/B论坛新规：9月1日起弃用SSL证书中的 OU字段

俄乌冲突凸显网络对抗加剧：“热战”之前网络战先行

标签推荐：数字证书申请 | 域名ssl证书 | https证书申请| 数字证书过期| 网站证书安装| 可靠的ssl证书| 小程序证书| ca认证电子签名| 微软代码签名| android数字签名| java代码签名| ssl证书部署| 时间戳技术| 电子签名技术| https证书配置| 谷歌浏览器证书| tomcat数字证书| openssl漏洞| ECC加密算法| 服务器SSL证书| 链路层劫持| 物联网安全技术| 火狐插件签名证书