Javaに深刻な脆弱性　不正なデジタル署名を正常とみなしてしまう　専門家は「最悪」評価 [323057825]

ルミ姉(ジパング) **[US]** · 2022/04/22(金) 09:39:54.10

　先日の「Critical Patch Update」で修正された「Java」の脆弱性「CVE-2022-21449」は、悪用された場合の影響が大きいようだ。
ECDSA（楕円曲線デジタル署名アルゴリズム）の実装に欠陥があり、不正なデジタル署名の検証が誤って成功してしまう。
ForgeRock社のセキュリティ研究家は、SFテレビドラマ『ドクター・フー』（Doctor Who）に登場する架空の道具「サイキックペーパー」（望むままの内容を表示できる白紙。
フリーパスの身分証明書として利用できる）になぞらえて、その危険性を指摘している。

　それによると、この脆弱性は「Java 15」でEC（楕円曲線）コードをC++言語からJava言語に書き換える際に混入したという。
このコード書き換えはメモリの安全性と保守性を向上させる目的で行われたが、ECDSA署名を構成する2つの値（r、s）のいずれかがゼロであるケースをチェックする処理が抜けていた。
そのため、検証をパスできる不正な署名を作成できてしまう。

　Oracleはこの脆弱性の「CVSS v3」基本値を「7.5」と評価しているが、
ECDSAはデジタルコンテンツに署名に幅広く利用されているため、その影響を計るのは難しい。ForgeRock社による評価は「10.0」だ。

「Java」に署名検証がフリーパスになってしまう危険な脆弱性～影響は計り知れず
https://forest.watch.impress.co.jp/docs/news/1404535.html

俺痴漢です(愛知県) **[ﾆﾀﾞ]** · 2022/04/22(金) 09:41:57.40

そもそもインストールしてないわ

藤堂とらまる(東京都) **[US]** · 2022/04/22(金) 09:42:13.68

これはJavaいな

ビバンダム(大阪府) **[US]** · 2022/04/22(金) 09:42:17.85

マジかよ
これから浴槽何で洗えばいいんだよ

バブルマン(埼玉県) **[JP]** · 2022/04/22(金) 09:42:43.33

ハッとしてグーなジャバザハット

きこりん(やわらか銀行) **[US]** · 2022/04/22(金) 09:42:54.02

https://cdn--ak-f-st--hatena-com.cdn.ampproject.org/i/s/cdn-ak.f.st-hatena.com/images/fotolife/M/Meshi2_IB/20201020/20201020124821.jpg

かわさきノルフィン(茸) **[ﾆﾀﾞ]** · 2022/04/22(金) 09:44:10.73

話の意味が良くわかるから、職種変えたけどおれはIT系なんだろうな・・

ルミ姉(東京都) **[MX]** · 2022/04/22(金) 09:45:13.06

宇宙刑事の不祥事か

やまじシスターズ(東京都) **[JP]** · 2022/04/22(金) 09:45:57.02

オラクルって結局何屋さんなの？

レビット君(兵庫県) **[ﾆﾀﾞ]** · 2022/04/22(金) 09:46:03.13

>>8
あばよ涙

ペーパー・ドギー(東京都) **[SE]** · 2022/04/22(金) 09:46:55.98

消えてなくなって欲しい言語No1

Mr.メントス(北海道) **[PL]** · 2022/04/22(金) 09:47:02.78

今更新してきたとこだぜ

バスママ(東京都) **[ﾆﾀﾞ]** · 2022/04/22(金) 09:55:31.02

いずれかがゼロでなくて、たとえば１とか２ならOKなのか？

ビバンダム(ジパング) **[JP]** · 2022/04/22(金) 09:57:13.53

shockwaveとrealplayerだけ信じてればいい

バスママ(長屋) **[US]** · 2022/04/22(金) 09:57:31.24

アップデート来てたわ

ユーキャンキャン(東京都) **[US]** · 2022/04/22(金) 09:58:21.58

java15以前なら平気？

ドコモン(東京都) **[BR]** · 2022/04/22(金) 10:04:46.15

これはJavaい

ホックン(埼玉県) **[US]** · 2022/04/22(金) 10:11:12.49

今時Javaとか無いわ(´・ω・｀)
オラクルに移ってからはインストールもしてないわ

星ベソママ(埼玉県) **[MY]** · 2022/04/22(金) 10:20:01.54

>>16
平気だがもしかしたらダメかもってリンクの最後にもう一度最新にしとけとはある

ウッドくん(愛知県) **[US]** · 2022/04/22(金) 10:21:07.45

>>6
25年前は美味かった

てっちゃん(東京都) **[US]** · 2022/04/22(金) 10:24:51.42

　
でもー日本にはエクセルパワポこねくり回す技術力があるしー

　

サムー(東京都) **[US]** · 2022/04/22(金) 10:25:39.02

境界値テストしてないだけでワロタ

Mr.メントス(東京都) **[BR]** · 2022/04/22(金) 10:32:00.44

マイクラおわた

ソーセージおじさん(大阪府) **[HK]** · 2022/04/22(金) 10:35:50.39

なんやw
またit部門の連休が無くなるんかw

前回もそんな事あったよな

ハーディア(茸) **[CA]** · 2022/04/22(金) 10:39:46.01

OpenJDKはどうなのか、情報が錯綜してる。

Mr.メントス(東京都) **[US]** · 2022/04/22(金) 10:42:42.51

Javaを使ってたような新規プロジェクトって今は何を使ってるんだろ。
ちょっと前に関わってたのは、OracleJDKを止めてOpenJDKに移行して凌いだけど。
最近C++屋に変わったので状況がよくわからん。

ちょっとググったら、また無償化みたいなニュースがあった。
JDKの有償無償もそうだけどoracleになってバージョンアップコロコロもどうかなと思うところ。

KEN(東京都) **[US]** · 2022/04/22(金) 10:46:36.43

コーヒーだとジャワ

ホックン(埼玉県) **[US]** · 2022/04/22(金) 10:57:08.62

たいした速度もでない欠陥言語が有償ってだけでお断りや(´・ω・｀)

ウッドくん(茸) **[JP]** · 2022/04/22(金) 11:39:37.61

Minecraftか

パッソちゃん(ジパング) **[US]** · 2022/04/22(金) 11:54:05.65

まじかよjavascript止めてくる

メロン熊(東京都) **[US]** · 2022/04/22(金) 12:45:14.21

>>9
汎用機では無いミッションクリティカルに動作させるものを買収しまくって覇権を取ろうとしてる。
Sunサーバとunix、OracleDB、Java
この組み合わせをメーカーがサポートとしてれるとありがたい
ここ以外だとMicrosoftしかないんじゃないかな

ハッチー(埼玉県) **[US]** · 2022/04/22(金) 12:54:18.92

脱Oracle

コン太くん(ジパング) **[ﾆﾀﾞ]** · 2022/04/22(金) 13:07:11.47

JAVAが天下取りそうな時代があったのに分からんな

サリーちゃん(埼玉県) **[IN]** · 2022/04/22(金) 13:54:40.84

最近はGo言語ってのが流行ってるらしいじゃ〜ん

Javaも長年築いてきた基盤があるだろうから今後も進化していくんだろうけど。

てん太くん(福岡県) **[ﾆﾀﾞ]** · 2022/04/22(金) 14:08:50.19

この前ちょっとJavaが必要になったのでサイト行ったら
今は登録が必要になってんだな
それ見た瞬間面倒でもう要らんわ！てなったわｗｗｗ