Súlyos biztonsági hibát (CVE-2022-21449) fedeztek fel a Java keretrendszer egyes verzióit érintően. A sebezhetőség a digitális kódaláírásra és ellenőrzésre szolgáló ECDSA (Elliptic Curve Digital Signature Algorithm) implementálási hibáiból ered.
Az ECDSA számos hitelesítési művelet során alkalmazott, ezért egy hálózati hozzáféréssel rendelkező támadó számára sokféle kihasználási mód adódhat, így például akár hamis SSL tanúsítványokat is előállíthat, hogy azzal a hálózati forgalmat eltérítse.
A brit Dr. Who tévésorozat után „Psychic Signatures”-ként elnevezett sebezhetőség gyakorlatilag minden sérülékeny verziót futtató rendszeren megkérdőjelezhetővé teszi az elektronikus aláírások hitelességét. Gyártói javítás szerencsére az Oracle áprilisi hibajavító csomagja óta elérhető, javasolt mielőbb frissíteni!
A sérülékenységben érintett verziók:
- Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18
- Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2