安全通告
Oracle Java SE 身份认证绕过漏洞安全风险通告
发布日期:2022-4-29
漏洞描述
近日,监测到一则 Oracle Java SE 组件存在身份认证绕过漏洞的信息,该漏洞是由于 Oracle Java SE 受影响版本中对椭圆曲线数字签名算法(ECDSA)的实现存在缺陷,攻击者可利用该漏洞伪造签名并绕过身份认证措施。
当前官方已发布最新版本,建议用户根据影响版本中的信息,排查并升级到不受影响的版本,以免遭受黑客攻击。
漏洞编号
CVE-2022-21449
漏洞危害
攻击者可利用该漏洞伪造签名并绕过身份认证措施。
漏洞等级
高危
受影响版本
Oracle Java SE 15
Oracle Java SE 16
Oracle Java SE 17.0.2
Oracle Java SE 18
Oracle GraalVM Enterprise Edition 21.3.1
Oracle GraalVM Enterprise Edition 22.0.0.2
修复方案
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
参考链接
- https://www.oracle.com/security-alerts/cpuapr2022.html#AppendixJAVA
- https://neilmadden.blog/2022/04/25/a-few-clarifications-about-cve-2022-21449/