Java 爆出 "年度加密漏洞"!网友:又多了坚持 Java 8 的理由。。

最新推荐文章于 2024-04-26 08:45:18 发布
最新推荐文章于 2024-04-26 08:45:18 发布
阅读量132 收藏
点赞数
文章标签: 算法 密码学 java 安全 人工智能
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2MTIzMzY3Mw==&mid=2247524389&idx=2&sn=4c373a26a0d68b46c3a584fd340697a5&chksm=ea5fad43dd28245535e891534abec7f80510ab0e0d95a7d5728cc5a03ce200106d867179c6db&scene=126&&sessionid=0
版权

点击关注下方公众号,架构师全套资料 都在这里1d780fd1b9b4f74f856a0a8fbbb1df51.png

0、2T架构师学习资料干货分享

上一篇:图文详解你不知道的CDC技术

大家好,我是互联网架构师。

文 | Travis

出品 | OSC开源社区(ID:oschina2013)

甲骨文于推送了安全更新修复了一个漏洞,该漏洞允许攻击者伪造某些种类的 SSL 证书和握手、双因素认证信息,以及由一系列广泛使用的开放标准产生的授权凭证。

这使得攻击者可以轻松地对文件和其他数据进行数字签名。

04f42241c0a45689f3f0cc997c9465c3.png

该漏洞影响了 Java 15 及以上版本中对 ECDSA(椭圆曲线数字签名算法)的实现。

ECDSA 是一种利用椭圆曲线密码学原理对信息进行数字认证的算法。与 RSA 或其他加密算法相比,ECDSA 的一个关键优势是它生成的密钥较小,非常适合用于包括基于 FIDO 的 2FA、SMAL 和 OpenID 等标准。

这个漏洞的 CVE ID 为 CVE-2022-21449,最初是由 ForgeRock 安全研究员 Neil Madden 所发现的,他在漏洞说明中写道:

如果你在这些安全机制中使用 ECDSA 签名,并且如果你的服务器在 2022 年 4 月关键补丁更新(CPU)之前运行任何 Java 15、16、17 或 18 版本,攻击者就可以轻而易举地完全绕过它们。

如今几乎所有的 WebAuthn/FIDO 设备(包括 Yubikeys)都使用 ECDSA 签名,许多 OIDC 提供商也在使用 ECDSA 签名的 JWT。

Madden 指出,上述这些受影响的 Java 版本主要是因为它们未能检查 ECDSA 中的两个关键变量,以确保它们是非零的。

ECDSA 签名依赖于一个伪随机数,通常表示为 K,用于推导两个额外的数字 R 和 S。要验证签名是否有效,必须检查涉及 R 和 S 的等式。当等式两边相等时,签名才有效。为了使过程正常工作,R 和 S 都不能为零。

这是因为如果值都是 0,等式两边将始终相等,签名也就一直有效。这意味着只需提交一个空白签名即可成功通过验证检查。

这个 bug 是由相关代码从 C++ 改写成 Java 时引入的,漏洞最早可以追溯到 2020 年 Java 15 发布的时候。该 bug 在去年 11 月就已被发现并报告给了甲骨文,而甲骨文在推出的 4 月关键补丁更新(CPU)中修复了该问题。

甲骨文在通用漏洞评分系统(Common Vulnerability Scoring System)中将该漏洞的严重性评级为 7.5(满分 10 分),但 Madden 根据他自己的评估,认为该漏洞的严重性评级为 10 分。

除了 Madden 认为该漏洞十分严重,另一位安全专家 Thomas Ptacek 更是将该漏洞评为 “年度加密漏洞”(crypto bug of the year)。

35bda2126f3e5e6b29b2eaae298837ad.png

目前 Java 15 及以上版本并没有像 Java 早期版本那样被开发者广泛使用。安全公司 Snyk 在 2021 年统计的数据显示,当时 Java 15 仅占了 12% 的份额。

因为此“年度加密漏洞”仅影响 Java 15 及以上版本,所以有网友表示:又有一个坚持Java 8的理由了!

da46db1a0d6f6e231a72cf991bc3bdf7.png

3fe60df2c700d0278abd8b9acbeaf918.png

1afd01a0b93d74cfe73de6080106af6c.png


相关阅读:

1、Alibaba开源内网高并发编程手册.pdf

2、2T架构师学习资料干货分享

3、10000+TB 资源,阿里云盘,牛逼!!

4、基本涵盖了Spring所有核心知识点总结

  · END ·

最后,关注公众号互联网架构师,在后台回复:2T,可以获取我整理的 Java 系列面试题和答案,非常齐全。

2928a67a3a26403416a19fc687143b86.png

互联网架构
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JavaWeb 项目安全问题及其解决方案
weixin_33819479的博客
05-26 131
1.弱口令漏洞 解决方案:最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密,或者多种加密方式叠加组合。 2.未使用用户名及密码登录后台可直接输入后台URL登录系统。 解决方案:通过配置filter来过滤掉无效用户的连接请求。 3.JSP页面抛出的异常可能暴露程序信息。...
java开发常见漏洞_详解Javaweb中常见漏洞的防御
weixin_33325305的博客
02-13 626
上一篇给大家介绍了SpringMVC中常见的客户端数据输入点,这一篇给大家讲解下java中常见漏洞的防御方法。0x01.sql注入下面我们就用利用SpringMVC自带的数据库操作类jdbcTemplate举例。比如下面Dao中有如下的两个函数。函数save使用的是绑定变量的形式很好的防止了sql注入,而queryForInt_函数接收id参数直接对sql语句进行了拼接,测试时出现sql注入。pu...
SRC高危漏洞实战——破解加密流程发现的大量信息泄漏
最新发布
ooooooih的博客
04-26 1253
​ 上篇文章[SRC漏洞挖掘——常见数据加密传输方式解析]分析了一下目前常见的WEB端传输加解密流程,下面分享一个我之前实战的一个某SRC高危例子,就是通过分析加密方式篡改了请求包,进而拿到了大量用户敏感数据。
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7706
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
Java 代码审计常用漏洞总结
LANXIAMAO的博客
06-18 1005
但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程中执行构造的任意代码。download 函数把 filePath 处的文件写到 http 响应中,在整个流程中并没有对文件名的合法性进行检查,存在任意文件下载漏洞,如通过把 affixalName 的值设置。主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯:跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑可以是一个函数,或者是条小小的条件判断语句。
安全漏洞问题1:不安全加密存储
weixin_34261415的博客
11-21 1297
安全漏洞问题1:不安全加密存储1.1. 漏洞描述对重要信息不进行加密处理或加密强度不够,或者没有安全的存储加密信息,都会导致攻击者获得重要信息。此风险还涉及Web应用以外的安全管理。1.2. 漏洞危害Web应用程序没有对敏感性资料加密或使用较弱的加密算法(MD5 / SHA1)或将钥储存于容易被取得之处,使得机密资料容易被攻击者破解,造成资料外泄。1.3...
Java版数据加密解密jar包
09-12
近期互联网上频频爆出网站数据库被脱裤,造成大量的敏感数据的失窃和丢失,给很多企业带来重大损失,本加密解密组件(jar包)可以帮助开发者,快速对应用中的敏感数据进行加密解密,尽可能的帮助开发人员提高应用的...
weixin-java-tools:可能是目前最好最全的微信 Java 开发工具包,支持包括微信支付、开放平台、小程序、企业号和公众号等的开发
05-03
最近微信支付爆出的所谓漏洞是官方的老版的微信支付所谓的SDK (就是一个demo)的代码漏洞,使用我们的SDK不存在此问题,如果不放心,检查下自己项目所依赖的xstream版本是否≥1.4.9,前提是使用了weinxin-java-pay...
java反序列化漏洞对策
05-01
Java反序列化漏洞是软件安全领域的一个重要话题,它源于Java对象序列化机制的一个设计缺陷。当应用程序在处理不信任的数据时,如果没有正确地验证和控制反序列化过程,攻击者可能利用此漏洞执行任意代码,导致系统被...
Intel等主流处理器爆出多个高危漏洞威胁系统安全.pdf
09-25
【标题】:“Intel等主流处理器爆出多个高危漏洞威胁系统安全” 【描述】:报告指出,包括Intel在内的主流处理器存在严重的安全漏洞,如熔断(Meltdown)和幽灵(Spectre),这些芯片级别的漏洞可能导致用户的重要...
fastjson爆出重大漏洞,攻击者可使整个业务瘫痪
01-07
0x00 漏洞背景 2019年9月5日,360CERT监测到2019年9月3日fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\x转义字符时可能引发OOM的问题的修复。 360CERT 判断该漏洞...
Java包含常见web漏洞测试项目
12-06
一个包含web常见漏洞的maven 项目。JDK8 +springMVC+JDBC+mybatis+mysql。使用Eclipse导入maven项目,用sql创建数据库和表,修改数据库连接密码。即可运行。有兴趣的可以研究测试。
Web安全加密机制失效类漏洞详解及预防
路多辛的所思所想
01-15 917
密钥推荐使用强随机数算法生成,不同的加密场景使用独立密钥,密钥推荐保存在 kms 系统中(即密钥管理系统,最好是硬件级别的 kms 系统),即使开发人员在开发过程中也不能接触到密钥明文。3、密钥使用类似 12345678 或者 abcdefgh 等很容易被猜测到的值,或者多处加密使用了相同的密钥,或者密钥直接硬编码在了程序代码或项目的配置文件中。DES 算法已经可以被破解,请使用安全加密算法,例如 AES,注意不要使用 EBC模式,建议使用更安全的 CBC 模式。是否使用了加密算法的不安全的模式?
java安全漏洞_最新的Java安全更新中插入了51个漏洞
06-30 447
最新的Java安全更新 (一个新的季度周期的第一个) 已修补了51个漏洞 。 到目前为止,Java的官方补丁发布计划是一年一次,尽管出现了危险的 零日漏洞 ,迫使Oracle 在过去的十二个月中 发布了两个周期外的 紧急补丁 。 在此更新中修复 的 51个Java漏洞 中,除了一个 漏洞外 ,所有 漏洞 都可以远程利用,而不需要用户名和密码,并且给12个 漏洞 提供了最大的 CVSS ...
JAVA 框架
bylfsj的博客
11-01 382
4.3.2. 框架¶ 4.3.2.1. Servlet¶ 4.3.2.1.1. 简介¶ Servlet(Server Applet)是Java Servlet的简称,称为小服务程序或服务连接器,是用Java编写的服务器端程序,主要功能在于交互式地浏览和修改数据,生成动态Web内容。 狭义的Servlet是指Java语言实现的一个接口,广义的Servlet是指任何实现了这个Servlet接口的...
新版 Java 惊现“年度加密漏洞”,网友:还好我只用 Java 8
moose_killer的博客
04-28 165
Java 作为当前最流行的编程语言之一,常被用于企业级应用开发中。 近日,安全公司 ForgeRock 的研究员 Neil Madden 发现在 Java 15、16、17、18 版本的 ECDSA(椭圆曲线数字签名算法)签名验证中存在一个严重漏洞,黑客可以通过该漏洞轻松地伪造 TSL 证书和签名、双因素身份验证消息等,以及对文件和其他数据进行数字签名。 对此,Neil Madden 甚至将该漏洞比作科幻剧《神秘博士》中经常出现的空白纸: 《神秘博士》中有一个反复出现的情节装置,即医生通过出示一张实际
java最新漏洞_最新Java 0day漏洞分析及EXP下载(CVE-2012-4681)
weixin_39811193的博客
02-12 697
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。FireEeye在8月27日发布了一个新的java 0day的一些相关信息,该漏洞影响浏览器的JRE[1.7.x]插件,影响非常大,攻击者可利用该漏洞进行挂马攻击。在捕获的样本中发现使用了Dadong's JSXX 0.44 VIP加密方式。该java程序中包含了以下两个类文件:(-...
RMI Bypass Jep290(Jdk8u231) 反序列化漏洞分析
爱国小白帽
07-26 1497
360-CERT [三六零CERT](javascript:void(0)???? 前天 0x00 漏洞简述 随着RMI的进一步发展,RMI上的反序列化攻击手段正逐渐增多,该类漏洞最近正受到愈加广泛的关注。 RMI (Java Remote Method Invocation) 是Java远程方法调用,是一种允许一个 JVM 上的 object 调用另一个 JVM 上 object 方法的机制,在Java RMI 的通信过程中存在反序列化漏洞,攻击者能够利用该漏洞造成代码执行,漏洞等级:高危。 在JDK8
java 漏洞复现_CVE-2019-12384漏洞分析及复现
weixin_42463997的博客
03-02 1075
原标题:CVE-2019-12384漏洞分析及复现*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。引言近期关于Jackson的RCE漏洞CVE-2019-12384爆出,关于漏洞的复现以及依赖,这里已经给出,笔者这边使用java的环境重新复现了一下,权当给各位看官当个翻译,也让在java上进行漏洞复现的兄弟们少走点弯路。环境准备本...
java: 非法字符: \uff1b
07-29
问题:java: 非法字符: \uff1b 回答: 当在Java代码中出现java: 非法字符: \uff1b的错误时,通常是因为代码中包含了Unicode字符 \uff1b,它代表的是全角分号(;)。这个错误可能是由于编码问题导致的。可以尝试以下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值