日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
甲骨文修復(fù)Java“年度加密漏洞”,影響Java15及以上版本

甲骨文于昨日推送了安全更新修復(fù)了一個(gè)漏洞,該漏洞允許攻擊者偽造某些種類的 SSL 證書(shū)和握手、雙因素認(rèn)證信息,以及由一系列廣泛使用的開(kāi)放標(biāo)準(zhǔn)產(chǎn)生的授權(quán)憑證。這使得攻擊者可以輕松地對(duì)文件和其他數(shù)據(jù)進(jìn)行數(shù)字簽名。

十年的馬龍網(wǎng)站建設(shè)經(jīng)驗(yàn),針對(duì)設(shè)計(jì)、前端、開(kāi)發(fā)、售后、文案、推廣等六對(duì)一服務(wù),響應(yīng)快,48小時(shí)及時(shí)工作處理。成都全網(wǎng)營(yíng)銷推廣的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同,自動(dòng)調(diào)整馬龍建站的顯示方式,使網(wǎng)站能夠適用不同顯示終端,在瀏覽器中調(diào)整網(wǎng)站的寬度,無(wú)論在任何一種瀏覽器上瀏覽網(wǎng)站,都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì),從而大程度地提升瀏覽體驗(yàn)。創(chuàng)新互聯(lián)建站從事“馬龍網(wǎng)站設(shè)計(jì)”,“馬龍網(wǎng)站推廣”以來(lái),每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

該漏洞影響了 Java 15 及以上版本中對(duì) ECDSA(橢圓曲線數(shù)字簽名算法)的實(shí)現(xiàn)。ECDSA 是一種利用橢圓曲線密碼學(xué)原理對(duì)信息進(jìn)行數(shù)字認(rèn)證的算法。與 RSA 或其他加密算法相比,ECDSA 的一個(gè)關(guān)鍵優(yōu)勢(shì)是它生成的密鑰較小,非常適合用于包括基于 FIDO 的 2FA、SMAL 和 OpenID 等標(biāo)準(zhǔn)。

這個(gè)漏洞的 CVE ID 為 CVE-2022-21449,最初是由 ForgeRock 安全研究員 Neil Madden 所發(fā)現(xiàn)的,他在漏洞說(shuō)明中寫(xiě)道:

如果你在這些安全機(jī)制中使用 ECDSA 簽名,并且如果你的服務(wù)器在 2022 年 4 月關(guān)鍵補(bǔ)丁更新(CPU)之前運(yùn)行任何 Java 15、16、17 或 18 版本,攻擊者就可以輕而易舉地完全繞過(guò)它們。 如今幾乎所有的 WebAuthn/FIDO 設(shè)備(包括 Yubikeys)都使用 ECDSA 簽名,許多 OIDC 提供商也在使用 ECDSA 簽名的 JWT。

Madden 指出,上述這些受影響的 Java 版本主要是因?yàn)樗鼈兾茨軝z查 ECDSA 中的兩個(gè)關(guān)鍵變量,以確保它們是非零的。

ECDSA 簽名依賴于一個(gè)偽隨機(jī)數(shù),通常表示為 K,用于推導(dǎo)兩個(gè)額外的數(shù)字 R 和 S。要驗(yàn)證簽名是否有效,必須檢查涉及 R 和 S 的等式。當(dāng)?shù)仁絻蛇呄嗟葧r(shí),簽名才有效。為了使過(guò)程正常工作,R 和 S 都不能為零。

這是因?yàn)槿绻刀际?0,等式兩邊將始終相等,簽名也就一直有效。這意味著只需提交一個(gè)空白簽名即可成功通過(guò)驗(yàn)證檢查。

這個(gè) bug 是由相關(guān)代碼從 C++ 改寫(xiě)成 Java 時(shí)引入的,漏洞最早可以追溯到 2020 年 Java 15 發(fā)布的時(shí)候。該 bug 在去年 11 月就已被發(fā)現(xiàn)并報(bào)告給了甲骨文,而甲骨文在推出的 4 月關(guān)鍵補(bǔ)丁更新(CPU)中修復(fù)了該問(wèn)題。

甲骨文在通用漏洞評(píng)分系統(tǒng)(Common Vulnerability Scoring System)中將該漏洞的嚴(yán)重性評(píng)級(jí)為 7.5(滿分 10 分),但 Madden 根據(jù)他自己的評(píng)估,認(rèn)為該漏洞的嚴(yán)重性評(píng)級(jí)為 10 分。除了 Madden 認(rèn)為該漏洞十分嚴(yán)重,另一位安全專家 Thomas Ptacek 更是將該漏洞評(píng)為 “年度加密漏洞”(crypto bug of the year)。

目前 Java 15 及以上版本并沒(méi)有像 Java 早期版本那樣被開(kāi)發(fā)者廣泛使用。安全公司 Snyk 在 2021 年統(tǒng)計(jì)的數(shù)據(jù)顯示,當(dāng)時(shí) Java 15 僅占了 12% 的份額。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題:甲骨文修復(fù) Java “年度加密漏洞”,影響 Java 15 及以上版本

本文地址:https://www.oschina.net/news/192162/signatures-in-java


分享標(biāo)題:甲骨文修復(fù)Java“年度加密漏洞”,影響Java15及以上版本
標(biāo)題路徑:http://www.5511xx.com/article/coceshj.html