• はてなブックマーク
  • テクノロジー
  • 「Java」に署名検証がフリーパスになってしまう危険な脆弱性 ~影響は計り知れず/2022年4月の「Critical Patch Update」で対策済み、最新版への更新を
  • Twitterでシェア
  • Facebookでシェア

「Java」に署名検証がフリーパスになってしまう危険な脆弱性 ~影響は計り知れず/2022年4月の「Critical Patch Update」で対策済み、最新版への更新を

テクノロジー カテゴリーの変更を依頼 記事元:forest.watch.impress.co.jp
適切な情報に変更
163 usersがブックマーク コメント21

    記事へのコメント21

    • 注目コメント
    • 新着コメント
    hiduru_k
    hiduru_k IPAだとJava7まで影響とか書いてるな

    2022/04/21 リンク

    その他
    prograti
    prograti これはSaaSベンダーは調査が大変でしょうね... 外部連携している事業者から問い合わせもたくさん来るでしょうし。

    2022/04/21 リンク

    その他
    nmcli
    nmcli 説明を求められたので「パスワードを空欄のまま送信したらログインできちゃった、くらいヤバい」と答えたけどそれで合ってるかな……?

    2022/04/21 リンク

    その他
    Nyoho
    Nyoho “ECDSA署名を構成する2つの値(r、s)のいずれかがゼロであるケースをチェックする処理が抜けていた。そのため、検証をパスできる不正な署名を作成できてしまう。”

    2022/04/21 リンク

    その他
    mohno
    mohno 「ECDSA(楕円曲線デジタル署名アルゴリズム)の実装に欠陥があり、不正なデジタル署名の検証が誤って成功してしまう」「「CVE-2022-21449」は2021年11月に発見・報告され、2022年4月の「Critical Patch Update」で修正が確認された」

    2022/04/22 リンク

    その他
    strawberryhunter
    strawberryhunter 一度正規にログインするなどして標的システムのJWT仕様がわかっていれば偽造して攻撃できる可能性がある。/Log4ShellもSpring4Shellも高みの見物だったけど、OpenJDKも対象だろうからヒットしたかも。

    2022/04/22 リンク

    その他
    yamadamn
    yamadamn 元となった https://www.oracle.com/security-alerts/cpuapr2022.html#AppendixJAVA が米国時間4/21に修正されたので、Java 7/8/11も影響を受けるというのは誤報。OpenJDKも含めJava 15以降が対象です。https://openjdk.java.net/groups/vulnerability/advisories/2022-04-19

    2022/04/24 リンク

    その他
    zyzy
    zyzy 0を入れると計算式的に全部通っちゃうって事なのかな? 如何せん楕円曲線暗号自体がふわっとなぞったくらいでしかないのでほぼ理解できてない。

    2022/04/24 リンク

    その他
    quick_past
    quick_past ドクター・フーの名前をここで見るとは。日本じゃいまいちマイナーなのがもったいない

    2022/04/24 リンク

    その他
    rryu
    rryu こんなテストしやすそうなもののテストコードが無いとは思えないのだが、両方ゼロというテストケースが漏れていたということなのだろうか。

    2022/04/24 リンク

    その他
    tmatsuu
    tmatsuu はい。

    2022/04/24 リンク

    その他
    yamadamn
    yamadamn 元となった https://www.oracle.com/security-alerts/cpuapr2022.html#AppendixJAVA が米国時間4/21に修正されたので、Java 7/8/11も影響を受けるというのは誤報。OpenJDKも含めJava 15以降が対象です。https://openjdk.java.net/groups/vulnerability/advisories/2022-04-19

    2022/04/24 リンク

    その他
    canadie
    canadie ECDSAのアルゴリズムを見るとr,sが非ゼロの検証は必須。原理的には署名検証時にゼロ除算となるため署名検証できないはずが、実装された演算アルゴリズムではこれをすり抜ける模様https://ja.m.wikipedia.org/wiki/楕円曲線DSA

    2022/04/22 リンク

    その他
    yamuchagold
    yamuchagold こういうのがあるとJavaは更に使いにくくなるなあ

    2022/04/22 リンク

    その他
    surume000
    surume000 前のlog4jのやつほどは、実際のアタックのイメージがつかないな

    2022/04/22 リンク

    その他
    strawberryhunter
    strawberryhunter 一度正規にログインするなどして標的システムのJWT仕様がわかっていれば偽造して攻撃できる可能性がある。/Log4ShellもSpring4Shellも高みの見物だったけど、OpenJDKも対象だろうからヒットしたかも。

    2022/04/22 リンク

    その他
    mohno
    mohno 「ECDSA(楕円曲線デジタル署名アルゴリズム)の実装に欠陥があり、不正なデジタル署名の検証が誤って成功してしまう」「「CVE-2022-21449」は2021年11月に発見・報告され、2022年4月の「Critical Patch Update」で修正が確認された」

    2022/04/22 リンク

    その他
    estragon
    estragon “「Java 15」より前のバージョンはこの脆弱性の影響を受けないと見られているが、ドキュメントによっては古いバージョンも影響範囲とされており、情報が錯綜している。更新が可能なのであれば、古いバージョンに関し

    2022/04/22 リンク

    その他
    eru01
    eru01 やっぱJavaってクソだわ

    2022/04/22 リンク

    その他
    komo-z
    komo-z これは影響が大きそう!身近なシステムが該当していませんように!

    2022/04/22 リンク

    その他
    Crone
    Crone 明日の仕事は影響調査かなぁ。これ導入製品群も含めて情報収集必要で、結構大変なやつだと想う。

    2022/04/22 リンク

    その他
    diabah_blue
    diabah_blue 「CVE-2022-21449」ヤバそうね。

    2022/04/21 リンク

    その他
    nmcli
    nmcli 説明を求められたので「パスワードを空欄のまま送信したらログインできちゃった、くらいヤバい」と答えたけどそれで合ってるかな……?

    2022/04/21 リンク

    その他
    prograti
    prograti これはSaaSベンダーは調査が大変でしょうね... 外部連携している事業者から問い合わせもたくさん来るでしょうし。

    2022/04/21 リンク

    その他
    toruhjp
    toruhjp ところで、JAVAなんですか?それともJavaScriptなんですか?どっちでもいいからフリーパスってことですか?

    2022/04/21 リンク

    その他
    hiduru_k
    hiduru_k IPAだとJava7まで影響とか書いてるな

    2022/04/21 リンク

    その他
    Nyoho
    Nyoho “ECDSA署名を構成する2つの値(r、s)のいずれかがゼロであるケースをチェックする処理が抜けていた。そのため、検証をパスできる不正な署名を作成できてしまう。”

    2022/04/21 リンク

    その他
    b-wind
    b-wind “ドキュメントによっては古いバージョンも影響範囲とされており、情報が錯綜している”

    2022/04/21 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    「Java」に署名検証がフリーパスになってしまう危険な脆弱性 ~影響は計り知れず/2022年4月の「Critical Patch Update」で対策済み、最新版への更新を

    ブックマークしたユーザー

    • kazkun2022/05/02 kazkun
    • karahiyo2022/04/27 karahiyo
    • TakayukiN6272022/04/26 TakayukiN627
    • araki_k2022/04/26 araki_k
    • zakisanbaiman2022/04/25 zakisanbaiman
    • zyzy2022/04/24 zyzy
    • quick_past2022/04/24 quick_past
    • sanko04082022/04/24 sanko0408
    • rryu2022/04/24 rryu
    • zu22022/04/24 zu2
    • ruicc2022/04/24 ruicc
    • tmatsuu2022/04/24 tmatsuu
    • yamadamn2022/04/24 yamadamn
    • yuhu6009hi2022/04/23 yuhu6009hi
    • yujiorama2022/04/22 yujiorama
    • shirokurostone2022/04/22 shirokurostone
    • ya--mada2022/04/22 ya--mada
    • dederon2022/04/22 dederon
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.