先日の「Critical Patch Update」で修正された「Java」の脆弱性「CVE-2022-21449」は、悪用された場合の影響が大きいようだ。
ECDSA(楕円曲線デジタル署名アルゴリズム)の実装に欠陥があり、不正なデジタル署名の検証が誤って成功してしまう。
ForgeRock社のセキュリティ研究家は、SFテレビドラマ『ドクター・フー』(Doctor Who)に登場する架空の道具「サイキックペーパー」(望むままの内容を表示できる白紙。
フリーパスの身分証明書として利用できる)になぞらえて、その危険性を指摘している。それによると、この脆弱性は「Java 15」でEC(楕円曲線)コードをC++言語からJava言語に書き換える際に混入したという。
このコード書き換えはメモリの安全性と保守性を向上させる目的で行われたが、ECDSA署名を構成する2つの値(r、s)のいずれかがゼロであるケースをチェックする処理が抜けていた。
そのため、検証をパスできる不正な署名を作成できてしまう。Oracleはこの脆弱性の「CVSS v3」基本値を「7.5」と評価しているが、
ECDSAはデジタルコンテンツに署名に幅広く利用されているため、その影響を計るのは難しい。ForgeRock社による評価は「10.0」だ。「Java」に署名検証がフリーパスになってしまう危険な脆弱性 ~影響は計り知れず
https://forest.watch.impress.co.jp/docs/news/1404535.html- そもそもインストールしてないわ
- これはJavaいな
- マジかよ
これから浴槽何で洗えばいいんだよ - ハッとしてグーなジャバザハット
- 話の意味が良くわかるから、職種変えたけどおれはIT系なんだろうな・・
- 宇宙刑事の不祥事か
- >>8
あばよ涙 - オラクルって結局何屋さんなの?
- >>9
汎用機では無いミッションクリティカルに動作させるものを買収しまくって覇権を取ろうとしてる。
Sunサーバとunix、OracleDB、Java
この組み合わせをメーカーがサポートとしてれるとありがたい
ここ以外だとMicrosoftしかないんじゃないかな - 消えてなくなって欲しい言語No1
- 今更新してきたとこだぜ
- いずれかがゼロでなくて、たとえば1とか2ならOKなのか?
- shockwaveとrealplayerだけ信じてればいい
- アップデート来てたわ
- java15以前なら平気?
- >>16
平気だがもしかしたらダメかもってリンクの最後にもう一度最新にしとけとはある - これはJavaい
- 今時Javaとか無いわ(´・ω・`)
オラクルに移ってからはインストールもしてないわ - でもー日本にはエクセルパワポこねくり回す技術力があるしー
- 境界値テストしてないだけでワロタ
- マイクラおわた
- なんやw
またit部門の連休が無くなるんかw前回もそんな事あったよな
- OpenJDKはどうなのか、情報が錯綜してる。
- Javaを使ってたような新規プロジェクトって今は何を使ってるんだろ。
ちょっと前に関わってたのは、OracleJDKを止めてOpenJDKに移行して凌いだけど。
最近C++屋に変わったので状況がよくわからん。ちょっとググったら、また無償化みたいなニュースがあった。
JDKの有償無償もそうだけどoracleになってバージョンアップコロコロもどうかなと思うところ。 - コーヒーだとジャワ
- たいした速度もでない欠陥言語が有償ってだけでお断りや(´・ω・`)
- Minecraftか
- まじかよjavascript止めてくる
Javaに深刻な脆弱性 不正なデジタル署名を正常とみなしてしまう 専門家は「最悪」評価
ニュー速
コメント