Javaに深刻な脆弱性 不正なデジタル署名を正常とみなしてしまう 専門家は「最悪」評価 [323057825]
■ このスレッドは過去ログ倉庫に格納されています
先日の「Critical Patch Update」で修正された「Java」の脆弱性「CVE-2022-21449」は、悪用された場合の影響が大きいようだ。
ECDSA(楕円曲線デジタル署名アルゴリズム)の実装に欠陥があり、不正なデジタル署名の検証が誤って成功してしまう。
ForgeRock社のセキュリティ研究家は、SFテレビドラマ『ドクター・フー』(Doctor Who)に登場する架空の道具「サイキックペーパー」(望むままの内容を表示できる白紙。
フリーパスの身分証明書として利用できる)になぞらえて、その危険性を指摘している。
それによると、この脆弱性は「Java 15」でEC(楕円曲線)コードをC++言語からJava言語に書き換える際に混入したという。
このコード書き換えはメモリの安全性と保守性を向上させる目的で行われたが、ECDSA署名を構成する2つの値(r、s)のいずれかがゼロであるケースをチェックする処理が抜けていた。
そのため、検証をパスできる不正な署名を作成できてしまう。
Oracleはこの脆弱性の「CVSS v3」基本値を「7.5」と評価しているが、
ECDSAはデジタルコンテンツに署名に幅広く利用されているため、その影響を計るのは難しい。ForgeRock社による評価は「10.0」だ。
「Java」に署名検証がフリーパスになってしまう危険な脆弱性 〜影響は計り知れず
https://forest.watch.impress.co.jp/docs/news/1404535.html 話の意味が良くわかるから、職種変えたけどおれはIT系なんだろうな・・ いずれかがゼロでなくて、たとえば1とか2ならOKなのか? shockwaveとrealplayerだけ信じてればいい 今時Javaとか無いわ(´・ω・`)
オラクルに移ってからはインストールもしてないわ >>16
平気だがもしかしたらダメかもってリンクの最後にもう一度最新にしとけとはある
でもー日本にはエクセルパワポこねくり回す技術力があるしー
なんやw
またit部門の連休が無くなるんかw
前回もそんな事あったよな Javaを使ってたような新規プロジェクトって今は何を使ってるんだろ。
ちょっと前に関わってたのは、OracleJDKを止めてOpenJDKに移行して凌いだけど。
最近C++屋に変わったので状況がよくわからん。
ちょっとググったら、また無償化みたいなニュースがあった。
JDKの有償無償もそうだけどoracleになってバージョンアップコロコロもどうかなと思うところ。 たいした速度もでない欠陥言語が有償ってだけでお断りや(´・ω・`) >>9
汎用機では無いミッションクリティカルに動作させるものを買収しまくって覇権を取ろうとしてる。
Sunサーバとunix、OracleDB、Java
この組み合わせをメーカーがサポートとしてれるとありがたい
ここ以外だとMicrosoftしかないんじゃないかな JAVAが天下取りそうな時代があったのに分からんな 最近はGo言語ってのが流行ってるらしいじゃ〜ん
Javaも長年築いてきた基盤があるだろうから今後も進化していくんだろうけど。 この前ちょっとJavaが必要になったのでサイト行ったら
今は登録が必要になってんだな
それ見た瞬間面倒でもう要らんわ!てなったわwww ■ このスレッドは過去ログ倉庫に格納されています