Javaに深刻な脆弱性　不正なデジタル署名を正常とみなしてしまう　専門家は「最悪」評価 [323057825]

0001ルミ姉(ジパング) [US]2022/04/22(金) 09:39:54.10ID:Fujpl06G0●?PLT(13000)

　先日の「Critical Patch Update」で修正された「Java」の脆弱性「CVE-2022-21449」は、悪用された場合の影響が大きいようだ。
ECDSA（楕円曲線デジタル署名アルゴリズム）の実装に欠陥があり、不正なデジタル署名の検証が誤って成功してしまう。
ForgeRock社のセキュリティ研究家は、SFテレビドラマ『ドクター・フー』（Doctor Who）に登場する架空の道具「サイキックペーパー」（望むままの内容を表示できる白紙。
フリーパスの身分証明書として利用できる）になぞらえて、その危険性を指摘している。

　それによると、この脆弱性は「Java 15」でEC（楕円曲線）コードをC++言語からJava言語に書き換える際に混入したという。
このコード書き換えはメモリの安全性と保守性を向上させる目的で行われたが、ECDSA署名を構成する2つの値（r、s）のいずれかがゼロであるケースをチェックする処理が抜けていた。
そのため、検証をパスできる不正な署名を作成できてしまう。

　Oracleはこの脆弱性の「CVSS v3」基本値を「7.5」と評価しているが、
ECDSAはデジタルコンテンツに署名に幅広く利用されているため、その影響を計るのは難しい。ForgeRock社による評価は「10.0」だ。

「Java」に署名検証がフリーパスになってしまう危険な脆弱性 〜影響は計り知れず
https://forest.watch.impress.co.jp/docs/news/1404535.html

0002俺痴漢です(愛知県) [ﾆﾀﾞ]2022/04/22(金) 09:41:57.40ID:hU9k+gwa0

そもそもインストールしてないわ

0003藤堂とらまる(東京都) [US]2022/04/22(金) 09:42:13.68ID:KMoK4puE0

これはJavaいな

0004ビバンダム(大阪府) [US]2022/04/22(金) 09:42:17.85ID:yVbnIxWi0

マジかよ
これから浴槽何で洗えばいいんだよ

0005バブルマン(埼玉県) [JP]2022/04/22(金) 09:42:43.33ID:iRaDNGYS0

ハッとしてグーなジャバザハット

0006きこりん(やわらか銀行) [US]2022/04/22(金) 09:42:54.02ID:TIjpjCw60

https://cdn--ak-f-st--hatena-com.cdn.ampproject.org/i/s/cdn-ak.f.st-hatena.com/images/fotolife/M/Meshi2_IB/20201020/20201020124821.jpg

0007かわさきノルフィン(茸) [ﾆﾀﾞ]2022/04/22(金) 09:44:10.73ID:oYoWAdMD0

話の意味が良くわかるから、職種変えたけどおれはIT系なんだろうな・・

0008ルミ姉(東京都) [MX]2022/04/22(金) 09:45:13.06ID:dfNXOYxv0

宇宙刑事の不祥事か

0009やまじシスターズ(東京都) [JP]2022/04/22(金) 09:45:57.02ID:43gWl4T10

オラクルって結局何屋さんなの？

0010レビット君(兵庫県) [ﾆﾀﾞ]2022/04/22(金) 09:46:03.13ID:D0bwt6qf0

>>8
あばよ涙

0011ペーパー・ドギー(東京都) [SE]2022/04/22(金) 09:46:55.98ID:HmuSjyQV0

消えてなくなって欲しい言語No1

0012Mr.メントス(北海道) [PL]2022/04/22(金) 09:47:02.78ID:tUWNcDsE0

今更新してきたとこだぜ

0013バスママ(東京都) [ﾆﾀﾞ]2022/04/22(金) 09:55:31.02ID:rKcL+wZj0

いずれかがゼロでなくて、たとえば１とか２ならOKなのか？

0014ビバンダム(ジパング) [JP]2022/04/22(金) 09:57:13.53ID:eGMdt3fM0

shockwaveとrealplayerだけ信じてればいい

0015バスママ(長屋) [US]2022/04/22(金) 09:57:31.24ID:4gIjDEx20

アップデート来てたわ

0016ユーキャンキャン(東京都) [US]2022/04/22(金) 09:58:21.58ID:2nj3KGx40

java15以前なら平気？

0017ドコモン(東京都) [BR]2022/04/22(金) 10:04:46.15ID:M7oEqvci0

これはJavaい

0018ホックン(埼玉県) [US]2022/04/22(金) 10:11:12.49ID:0TE043al0

今時Javaとか無いわ(´・ω・｀)
オラクルに移ってからはインストールもしてないわ

0019星ベソママ(埼玉県) [MY]2022/04/22(金) 10:20:01.54ID:fLgj26ol0

>>16
平気だがもしかしたらダメかもってリンクの最後にもう一度最新にしとけとはある

0020ウッドくん(愛知県) [US]2022/04/22(金) 10:21:07.45ID:6ws8cPp90

>>6
25年前は美味かった

0021てっちゃん(東京都) [US]2022/04/22(金) 10:24:51.42ID:kmRmHD3k0

　
でもー日本にはエクセルパワポこねくり回す技術力があるしー

　

0022サムー(東京都) [US]2022/04/22(金) 10:25:39.02ID:c//NylFb0

境界値テストしてないだけでワロタ

0023Mr.メントス(東京都) [BR]2022/04/22(金) 10:32:00.44ID:8QT7CkBW0

マイクラおわた

0024ソーセージおじさん(大阪府) [HK]2022/04/22(金) 10:35:50.39ID:+u9esJIF0

なんやw
またit部門の連休が無くなるんかw

前回もそんな事あったよな

0025ハーディア(茸) [CA]2022/04/22(金) 10:39:46.01ID:zk5jQcbX0

OpenJDKはどうなのか、情報が錯綜してる。

0026Mr.メントス(東京都) [US]2022/04/22(金) 10:42:42.51ID:W7aqA6As0

Javaを使ってたような新規プロジェクトって今は何を使ってるんだろ。
ちょっと前に関わってたのは、OracleJDKを止めてOpenJDKに移行して凌いだけど。
最近C++屋に変わったので状況がよくわからん。

ちょっとググったら、また無償化みたいなニュースがあった。
JDKの有償無償もそうだけどoracleになってバージョンアップコロコロもどうかなと思うところ。

0027KEN(東京都) [US]2022/04/22(金) 10:46:36.43ID:7OyOXyHl0

コーヒーだとジャワ

0028ホックン(埼玉県) [US]2022/04/22(金) 10:57:08.62ID:0TE043al0

たいした速度もでない欠陥言語が有償ってだけでお断りや(´・ω・｀)

0029ウッドくん(茸) [JP]2022/04/22(金) 11:39:37.61ID:dejOYsP90

Minecraftか

0030パッソちゃん(ジパング) [US]2022/04/22(金) 11:54:05.65ID:JsjXA1XY0

まじかよjavascript止めてくる

0031メロン熊(東京都) [US]2022/04/22(金) 12:45:14.21ID:ICqU60yX0

>>9
汎用機では無いミッションクリティカルに動作させるものを買収しまくって覇権を取ろうとしてる。
Sunサーバとunix、OracleDB、Java
この組み合わせをメーカーがサポートとしてれるとありがたい
ここ以外だとMicrosoftしかないんじゃないかな

0032ハッチー(埼玉県) [US]2022/04/22(金) 12:54:18.92ID:vcEIURXU0

脱Oracle

0033コン太くん(ジパング) [ﾆﾀﾞ]2022/04/22(金) 13:07:11.47ID:dqNqdrMe0

JAVAが天下取りそうな時代があったのに分からんな

0034サリーちゃん(埼玉県) [IN]2022/04/22(金) 13:54:40.84ID:/+mcmg3c0

最近はGo言語ってのが流行ってるらしいじゃ〜ん

Javaも長年築いてきた基盤があるだろうから今後も進化していくんだろうけど。

0035てん太くん(福岡県) [ﾆﾀﾞ]2022/04/22(金) 14:08:50.19ID:ByaNytCY0

この前ちょっとJavaが必要になったのでサイト行ったら
今は登録が必要になってんだな
それ見た瞬間面倒でもう要らんわ！てなったわｗｗｗ