芒竹云公告 > 公告详情

【安全通告】Java SE 数字签名伪造漏洞风险通告(CVE-2022-21449)

发布时间:2022-04-25 02:31:38
尊敬的芒竹云用户,您好!
芒竹云安全运营中心监测到, Oracle官方发布安全通告,修复了 Oracle Java SE 的数字签名算法实现存在的一个高危漏洞,漏洞编号CVE-2022-21449。漏洞被利用可导致伪造证书、绕过身份验证等危害。
为避免您的业务受影响,芒竹云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
ECDSA 是椭圆曲线数字签名算法,被广泛用于的应用程序和密码库。

漏洞由于部分版本 java SE 的 ECDSA 签名机制的实现存在缺陷导致,可允许攻击者伪造证书、签名、WebAuthn 身份验证消息等或绕过其他身份验证机制。
风险等级
高风险
漏洞风险
攻击者利用该漏洞可导致伪造证书、绕过身份验证等危害
影响版本
Oracle Java SE 7u311
Oracle Java SE 8u321
Oracle Java SE 11.0.14
Oracle Java SE 17.0.2
Oracle Java SE 18
Oracle GraalVM Enterprise Edition 20.3.5
Oracle GraalVM Enterprise Edition 21.3.1
Oracle GraalVM Enterprise Edition 22.0.0.2
安全版本
Oracle 2022年四月最新补丁
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考

https://www.oracle.com/security-alerts/cpuapr2022.html


/template/Home/qcloud/PC/Static