ГлавнаяБаза уязвимостей БДУ → BDU:2022-02516
10критическая

BDU:2022-02516 (CVE-2022-21449)

Уязвимость реализации алгоритма цифровой подписи ECDSA программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise Edition, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность информации
Опубликовано: 2022-04-22
Описание

Уязвимость реализации алгоритма цифровой подписи ECDSA программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise Edition связана с некорректной проверкой криптографической подписи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность информации

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Red Hat build of OpenJDK (17)Java SE (17.0.2)Java SE (18)GraalVM Enterprise Edition (21.3.1)GraalVM Enterprise Edition (22.0.0.2)IBM Cloud Object Storage Systems (от 3.16.0.121 до 3.16.7.55 включительно)Axiom AxiomJDK (до 17.0.2.0.1)Axiom AxiomJDK (до 17.0.3)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование алгоритмов подписи EdDSA или Ed25519 (в случае необходимости поддержки устаревших алгоритмов – использование других вариантов реализации алгоритмов RSA или DSA);
- использование для Java (JVM) BouncyCastle в качестве провайдера криптографических функций (путем обновления файла java.security)

Информация от производителей:
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-21449

Для программных продуктов IBM Corp.:
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-with-openjdk-gnutls-affect-ibm-cloud-object-storage-systems-august-2022v1/

Для Axiom AxiomJDK:
https://axiomjdk.ru/blog/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.oracle.com/security-alerts/cpuapr2022.htmlhttps://github.com/khalednassar/CVE-2022-21449-TLS-PoChttps://jfrog.com/blog/cve-2022-21449-psychic-signatures-analyzing-the-new-java-crypto-vulnerability/https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/https://blog.malwarebytes.com/exploits-and-vulnerabilities/2022/04/oracle-releases-massive-critical-patch-update-containing-520-security-patches/https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-with-openjdk-gnutls-affect-ibm-cloud-object-storage-systems-august-2022v1/https://axiomjdk.ru/blog/
Проверьте безопасность своего сайта и почты → Полная проверка домена