Oracle Java SE 身份認(rèn)證繞過(guò)漏洞預(yù)警（CVE-2022-21449）

2022-04-24

一、概要

近日，華為云關(guān)注到Oracle官方發(fā)布2022年第二季度重要安全補(bǔ)丁公告，披露了在Oracle Java SE特定的高版本中存在一處身份認(rèn)證繞過(guò)漏洞（CVE-2022-21449）。ECDSA是基于橢圓曲線的數(shù)字簽名算法，在特定的Java SE高版本中的ECDSA簽名校驗(yàn)機(jī)制存在缺陷，攻擊者可以偽證書、簽名、雙因子認(rèn)證等授權(quán)憑證，實(shí)現(xiàn)身份認(rèn)證繞過(guò)。目前漏洞細(xì)節(jié)已公開，風(fēng)險(xiǎn)高。

Java SE是Java的標(biāo)準(zhǔn)版，主要用于桌面應(yīng)用開發(fā)，同時(shí)也是Java的基礎(chǔ)。華為云提醒使用Java SE的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://www.oracle.com/security-alerts/cpuapr2022.html

https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Oracle Java SE 17.0.2

Oracle Java SE 18

Oracle GraalVM Enterprise Edition 21.3.1

Oracle GraalVM Enterprise Edition 22.0.0.2

四、漏洞處置

官方已發(fā)布安全補(bǔ)丁更新，需用戶持有正版軟件的許可賬號(hào)，登陸https://support.oracle.com后，下載最新補(bǔ)丁。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。