Уязвимость реализации алгоритма цифровой подписи ECDSA программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise Edition связана с некорректной проверкой криптографической подписи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность информации
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование алгоритмов подписи EdDSA или Ed25519 (в случае необходимости поддержки устаревших алгоритмов – использование других вариантов реализации алгоритмов RSA или DSA);
- использование для Java (JVM) BouncyCastle в качестве провайдера криптографических функций (путем обновления файла java.security)
Информация от производителей:
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-21449
Для программных продуктов IBM Corp.:
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-with-openjdk-gnutls-affect-ibm-cloud-object-storage-systems-august-2022v1/
Для Axiom AxiomJDK:
https://axiomjdk.ru/blog/
| Балл | 10 — критическая опасность |