• はてなブックマーク
  • テクノロジー
  • 「Java」に署名検証がフリーパスになってしまう危険な脆弱性 ~影響は計り知れず/2022年4月の「Critical Patch Update」で対策済み、最新版への更新を
  • Twitterでシェア
  • Facebookでシェア

「Java」に署名検証がフリーパスになってしまう危険な脆弱性 ~影響は計り知れず/2022年4月の「Critical Patch Update」で対策済み、最新版への更新を

テクノロジー カテゴリーの変更を依頼 記事元:forest.watch.impress.co.jp
適切な情報に変更
163users がブックマーク コメント 21
    共有

    • 記事へのコメント21

    • 注目コメント
    • 新着コメント
    その他
    hiduru_k
    IPAだとJava7まで影響とか書いてるな

    その他
    prograti
    これはSaaSベンダーは調査が大変でしょうね... 外部連携している事業者から問い合わせもたくさん来るでしょうし。

    その他
    nmcli
    説明を求められたので「パスワードを空欄のまま送信したらログインできちゃった、くらいヤバい」と答えたけどそれで合ってるかな……?

    その他
    Nyoho
    “ECDSA署名を構成する2つの値(r、s)のいずれかがゼロであるケースをチェックする処理が抜けていた。そのため、検証をパスできる不正な署名を作成できてしまう。”

    その他
    mohno
    「ECDSA(楕円曲線デジタル署名アルゴリズム)の実装に欠陥があり、不正なデジタル署名の検証が誤って成功してしまう」「「CVE-2022-21449」は2021年11月に発見・報告され、2022年4月の「Critical Patch Update」で修正が確認された」

    その他
    strawberryhunter
    一度正規にログインするなどして標的システムのJWT仕様がわかっていれば偽造して攻撃できる可能性がある。/Log4ShellもSpring4Shellも高みの見物だったけど、OpenJDKも対象だろうからヒットしたかも。

    その他
    yamadamn
    元となった https://www.oracle.com/security-alerts/cpuapr2022.html#AppendixJAVA が米国時間4/21に修正されたので、Java 7/8/11も影響を受けるというのは誤報。OpenJDKも含めJava 15以降が対象です。https://openjdk.java.net/groups/vulnerability/advisories/2022-04-19

    その他
    zyzy
    0を入れると計算式的に全部通っちゃうって事なのかな? 如何せん楕円曲線暗号自体がふわっとなぞったくらいでしかないのでほぼ理解できてない。

    その他
    quick_past
    ドクター・フーの名前をここで見るとは。日本じゃいまいちマイナーなのがもったいない

    その他
    rryu
    こんなテストしやすそうなもののテストコードが無いとは思えないのだが、両方ゼロというテストケースが漏れていたということなのだろうか。

    その他
    tmatsuu
    はい。

    その他
    yamadamn
    yamadamn 元となった https://www.oracle.com/security-alerts/cpuapr2022.html#AppendixJAVA が米国時間4/21に修正されたので、Java 7/8/11も影響を受けるというのは誤報。OpenJDKも含めJava 15以降が対象です。https://openjdk.java.net/groups/vulnerability/advisories/2022-04-19

    2022/04/24 リンク

    その他
    canadie
    ECDSAのアルゴリズムを見るとr,sが非ゼロの検証は必須。原理的には署名検証時にゼロ除算となるため署名検証できないはずが、実装された演算アルゴリズムではこれをすり抜ける模様https://ja.m.wikipedia.org/wiki/楕円曲線DSA

    その他
    yamuchagold
    こういうのがあるとJavaは更に使いにくくなるなあ

    その他
    surume000
    前のlog4jのやつほどは、実際のアタックのイメージがつかないな

    その他
    strawberryhunter
    strawberryhunter 一度正規にログインするなどして標的システムのJWT仕様がわかっていれば偽造して攻撃できる可能性がある。/Log4ShellもSpring4Shellも高みの見物だったけど、OpenJDKも対象だろうからヒットしたかも。

    2022/04/22 リンク

    その他
    mohno
    mohno 「ECDSA(楕円曲線デジタル署名アルゴリズム)の実装に欠陥があり、不正なデジタル署名の検証が誤って成功してしまう」「「CVE-2022-21449」は2021年11月に発見・報告され、2022年4月の「Critical Patch Update」で修正が確認された」

    2022/04/22 リンク

    その他
    estragon
    “「Java 15」より前のバージョンはこの脆弱性の影響を受けないと見られているが、ドキュメントによっては古いバージョンも影響範囲とされており、情報が錯綜している。更新が可能なのであれば、古いバージョンに関し

    その他
    eru01
    やっぱJavaってクソだわ

    その他
    komo-z
    これは影響が大きそう!身近なシステムが該当していませんように!

    その他
    Crone
    明日の仕事は影響調査かなぁ。これ導入製品群も含めて情報収集必要で、結構大変なやつだと想う。

    その他
    diabah_blue
    「CVE-2022-21449」ヤバそうね。

    その他
    nmcli
    nmcli 説明を求められたので「パスワードを空欄のまま送信したらログインできちゃった、くらいヤバい」と答えたけどそれで合ってるかな……?

    2022/04/21 リンク

    その他
    prograti
    prograti これはSaaSベンダーは調査が大変でしょうね... 外部連携している事業者から問い合わせもたくさん来るでしょうし。

    2022/04/21 リンク

    その他
    toruhjp
    ところで、JAVAなんですか?それともJavaScriptなんですか?どっちでもいいからフリーパスってことですか?

    その他
    hiduru_k
    hiduru_k IPAだとJava7まで影響とか書いてるな

    2022/04/21 リンク

    その他
    Nyoho
    Nyoho “ECDSA署名を構成する2つの値(r、s)のいずれかがゼロであるケースをチェックする処理が抜けていた。そのため、検証をパスできる不正な署名を作成できてしまう。”

    2022/04/21 リンク

    その他
    b-wind
    “ドキュメントによっては古いバージョンも影響範囲とされており、情報が錯綜している”

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    「Java」に署名検証がフリーパスになってしまう危険な脆弱性 ~影響は計り知れず/2022年4月の「Critical Patch Update」で対策済み、最新版への更新を

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.