Java 15 以降およびソフトウェアのバージョン 7、8、11 は、重大なセキュリティ脆弱性の影響を受けます。具体的には、脆弱性 CVE-2022-21449 は、フレームワークの楕円曲線デジタル署名アルゴリズム (ECDSA) に影響を与えます。これは、犯罪ハッカーが TSL 証明書と署名、2 要素認証コードと資格情報を偽造できるようにすることを目的としています。本質的に、このような行為はデジタル個人情報の盗難に相当します。
Java で個人情報が盗まれる可能性がある
実際のほぼすべての WebAuthn/FIDO デバイスは ECDSA 署名を使用し、多くの OIDC プロバイダーは ECDSA 署名付き JSON Web トークンを使用します。実際、このギャップは比較的新しいバグです。 Java バージョン 15 で EC コードをネイティブ C++ コードから Java に書き換えることによって作成されたようです。
この技術革新は、ストレージのセキュリティとメンテナンスの容易さの点でいくつかの利点をもたらしましたが、個人情報の盗難を大幅に容易にする脆弱性も生み出しました。 「最近の Java バージョンの一部には、広く使用されている ECDSA 署名を実装する際に、同様の種類のトリックに対して脆弱であることが判明しました」と IT セキュリティ専門家の Neil Madden 氏は説明します。
脆弱なバージョンのいずれかを使用すると、攻撃者は一部の種類の SSL 証明書とハンドシェイクを簡単に偽造する可能性があります。これにより、通信の傍受や改ざんが可能になるとマッデン氏は述べた。
緊急アップデート
このエラーの重大度を評価するのは困難です。 「これらのセキュリティ メカニズムのいずれかに ECDSA 署名を使用すると、サーバーで 2022 年 4 月の重要パッチ更新 (CPU) より前のバージョンの Java 15、16、17、または 18 が使用されている場合、攻撃者はそれらを簡単かつ完全にバイパスできます。」
Madden 氏によると、影響を受けるのは Java バージョン 15 以降のみです。 Oracle 自体も、バージョン 7、8、および 11 が脆弱であると説明しています。結局のところ、ソフトウェアを常に最新の状態に保つ必要があります。
出典: フォージロック