Javaに深刻な脆弱性 不正なデジタル署名を正常とみなしてしまう 専門家は「最悪」評価

1 : 2022/04/22(金) 09:39:54.10 ID:Fujpl06G0

 先日の「Critical Patch Update」で修正された「Java」の脆弱性「CVE-2022-21449」は、悪用された場合の影響が大きいようだ。
ECDSA(楕円曲線デジタル署名アルゴリズム)の実装に欠陥があり、不正なデジタル署名の検証が誤って成功してしまう。
ForgeRock社のセキュリティ研究家は、SFテレビドラマ『ドクター・フー』(Doctor Who)に登場する架空の道具「サイキックペーパー」(望むままの内容を表示できる白紙。
フリーパスの身分証明書として利用できる)になぞらえて、その危険性を指摘している。

 それによると、この脆弱性は「Java 15」でEC(楕円曲線)コードをC++言語からJava言語に書き換える際に混入したという。
このコード書き換えはメモリの安全性と保守性を向上させる目的で行われたが、ECDSA署名を構成する2つの値(r、s)のいずれかがゼロであるケースをチェックする処理が抜けていた。
そのため、検証をパスできる不正な署名を作成できてしまう。

 Oracleはこの脆弱性の「CVSS v3」基本値を「7.5」と評価しているが、
ECDSAはデジタルコンテンツに署名に幅広く利用されているため、その影響を計るのは難しい。ForgeRock社による評価は「10.0」だ。

「Java」に署名検証がフリーパスになってしまう危険な脆弱性 ~影響は計り知れず
https://forest.watch.impress.co.jp/docs/news/1404535.html

2 : 2022/04/22(金) 09:41:57.40 ID:hU9k+gwa0
そもそもインストールしてないわ
3 : 2022/04/22(金) 09:42:13.68 ID:KMoK4puE0
これはJavaいな
4 : 2022/04/22(金) 09:42:17.85 ID:yVbnIxWi0
マジかよ
これから浴槽何で洗えばいいんだよ
5 : 2022/04/22(金) 09:42:43.33 ID:iRaDNGYS0
ハッとしてグーなジャバザハット
7 : 2022/04/22(金) 09:44:10.73 ID:oYoWAdMD0
話の意味が良くわかるから、職種変えたけどおれはIT系なんだろうな・・
8 : 2022/04/22(金) 09:45:13.06 ID:dfNXOYxv0
宇宙刑事の不祥事か
10 : 2022/04/22(金) 09:46:03.13 ID:D0bwt6qf0
>>8
あばよ涙
9 : 2022/04/22(金) 09:45:57.02 ID:43gWl4T10
オラクルって結局何屋さんなの?
31 : 2022/04/22(金) 12:45:14.21 ID:ICqU60yX0
>>9
汎用機では無いミッションクリティカルに動作させるものを買収しまくって覇権を取ろうとしてる。
Sunサーバとunix、OracleDB、Java
この組み合わせをメーカーがサポートとしてれるとありがたい
ここ以外だとMicrosoftしかないんじゃないかな
11 : 2022/04/22(金) 09:46:55.98 ID:HmuSjyQV0
消えてなくなって欲しい言語No1
12 : 2022/04/22(金) 09:47:02.78 ID:tUWNcDsE0
今更新してきたとこだぜ
13 : 2022/04/22(金) 09:55:31.02 ID:rKcL+wZj0
いずれかがゼロでなくて、たとえば1とか2ならOKなのか?
14 : 2022/04/22(金) 09:57:13.53 ID:eGMdt3fM0
shockwaveとrealplayerだけ信じてればいい
15 : 2022/04/22(金) 09:57:31.24 ID:4gIjDEx20
アップデート来てたわ
16 : 2022/04/22(金) 09:58:21.58 ID:2nj3KGx40
java15以前なら平気?
19 : 2022/04/22(金) 10:20:01.54 ID:fLgj26ol0
>>16
平気だがもしかしたらダメかもってリンクの最後にもう一度最新にしとけとはある
17 : 2022/04/22(金) 10:04:46.15 ID:M7oEqvci0
これはJavaい
18 : 2022/04/22(金) 10:11:12.49 ID:0TE043al0
今時Javaとか無いわ(´・ω・`)
オラクルに移ってからはインストールもしてないわ
21 : 2022/04/22(金) 10:24:51.42 ID:kmRmHD3k0
でもー日本にはエクセルパワポこねくり回す技術力があるしー

22 : 2022/04/22(金) 10:25:39.02 ID:c//NylFb0
境界値テストしてないだけでワロタ
23 : 2022/04/22(金) 10:32:00.44 ID:8QT7CkBW0
マイクラおわた
24 : 2022/04/22(金) 10:35:50.39 ID:+u9esJIF0
なんやw
またit部門の連休が無くなるんかw

前回もそんな事あったよな

25 : 2022/04/22(金) 10:39:46.01 ID:zk5jQcbX0
OpenJDKはどうなのか、情報が錯綜してる。
26 : 2022/04/22(金) 10:42:42.51 ID:W7aqA6As0
Javaを使ってたような新規プロジェクトって今は何を使ってるんだろ。
ちょっと前に関わってたのは、OracleJDKを止めてOpenJDKに移行して凌いだけど。
最近C++屋に変わったので状況がよくわからん。

ちょっとググったら、また無償化みたいなニュースがあった。
JDKの有償無償もそうだけどoracleになってバージョンアップコロコロもどうかなと思うところ。

27 : 2022/04/22(金) 10:46:36.43 ID:7OyOXyHl0
コーヒーだとジャワ
28 : 2022/04/22(金) 10:57:08.62 ID:0TE043al0
たいした速度もでない欠陥言語が有償ってだけでお断りや(´・ω・`)
29 : 2022/04/22(金) 11:39:37.61 ID:dejOYsP90
Minecraftか
30 : 2022/04/22(金) 11:54:05.65 ID:JsjXA1XY0
まじかよjavascript止めてくる

コメント

タイトルとURLをコピーしました