中危 Java SE 数字签名伪造漏洞(CVE-2022-21449)
CVE编号
CVE-2022-21449利用情况
暂无补丁情况
官方补丁披露时间
2022-04-20漏洞描述
Oracle官方发布安全通告,修复了 Oracle Java SE 的数字签名算法实现存在的一个高危漏洞,漏洞编号CVE-2022-21449。漏洞被利用可导致伪造证书、绕过身份验证等危害。 ECDSA 是椭圆曲线数字签名算法,被广泛用于的应用程序和密码库。 漏洞由于部分版本 java SE 的 ECDSA 签名机制的实现存在缺陷导致,可允许攻击者伪造证书、签名、WebAuthn 身份验证消息等或绕过其他身份验证机制。解决建议
影响版本Oracle Java SE 7u311Oracle Java SE 8u321Oracle Java SE 11.0.14Oracle Java SE 17.0.2Oracle Java SE 18Oracle GraalVM Enterprise Edition 20.3.5Oracle GraalVM Enterprise Edition 21.3.1Oracle GraalVM Enterprise Edition 22.0.0.2安全版本Oracle 2022年四月最新补丁受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | oracle | graalvm | 21.3.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | graalvm | 22.0.0.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | jdk | 17.0.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | jdk | 18 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_3.15 | openjdk15 | * | Up to (excluding) 15.0.7_p4-r0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_3.16 | openjdk15 | * | Up to (excluding) 15.0.7_p4-r0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_3.17 | openjdk15 | * | Up to (excluding) 15.0.7_p4-r0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_3.18 | openjdk15 | * | Up to (excluding) 15.0.7_p4-r0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_edge | openjdk17 | * | Up to (excluding) 17.0.3_p7-r0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | amazon_2 | java-17-amazon-corretto | * | Up to (excluding) 17.0.3+6-1.amzn2.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | centos_8 | java-17-openjdk-headless-debuginfo | * | Up to (excluding) 17.0.3.0.6-2.el8_5 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_10 | openjdk-11 | * | Up to (excluding) 11.0.15+10-1~deb10u1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_11 | openjdk-17 | * | Up to (excluding) 17.0.3+7-1~deb11u1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_12 | openjdk-17 | * | Up to (excluding) 17.0.3+7-1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_9 | openjdk-8 | * | Up to (including) 8u252-b09-1~deb9u1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_sid | openjdk-17 | * | Up to (excluding) 17.0.3+7-1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | opensuse_Leap_15.3 | java-1_8_0-ibm-plugin | * | Up to (excluding) 1.8.0_sr7.10-150000.3.59.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | opensuse_Leap_15.4 | java-1_8_0-ibm-plugin | * | Up to (excluding) 1.8.0_sr7.10-150000.3.59.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | oracle_8 | oraclelinux-release | * | Up to (excluding) 17.0.3.0.6-2.el8_5 | |||||
| 运行在以下环境 | |||||||||
| 系统 | oracle_9 | oraclelinux-release | * | Up to (excluding) 17.0.3.0.7-1.el9_0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | redhat_8 | java-17-openjdk-headless-debuginfo | * | Up to (excluding) 17.0.3.0.6-2.el8_5 | |||||
| 运行在以下环境 | |||||||||
| 系统 | redhat_9 | java | * | Up to (excluding) 17-openjdk-jmods-17.0.3.0.7-1.el9_0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | suse_12_SP5 | java-1_8_0-ibm-alsa | * | Up to (excluding) 1.7.1_sr5.10-38.71.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_18.04 | openjdk-17 | * | Up to (excluding) 17.0.3+7-0ubuntu0.18.04.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_20.04 | openjdk-17 | * | Up to (excluding) 17.0.3+7-0ubuntu0.20.04.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_21.10 | openjdk-17 | * | Up to (excluding) 17.0.3+7-0ubuntu0.21.10.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_22.04 | openjdk-18 | * | Up to (excluding) 18.0.2+9-2~22.04 | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_22.10 | openjdk-18 | * | Up to (excluding) 17.0.3+7-0ubuntu0.22.04.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | unionos_d | openjdk-11 | * | Up to (excluding) 11.0.16.1+8-1+dde | |||||
- 攻击路径 本地
- 攻击复杂度 复杂
- 权限要求 无需权限
- 影响范围 越权影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| NVD-CWE-noinfo |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论