Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Oraclen Java-ohjelmistokirjastossa kriittinen haavoittuuus

Haavoittuvuus7/2022CVSS 7.5

Haavoittuvuus (CVE-2022-21449) ilmenee ECDSA-pohjaisten varmenteiden tarkistuksessa. Rikollisten on esimerkiksi mahdollista väärentää TLS-varmenne ja varmenteen allekirjoituksia. Haavoittuvuuden korjaavat päivitykset tuli asentaa niin pian kuin mahdollista.

Haavoittuvuuden avulla on mahdollista väärentää TLS-varmenne ja allekirjoitukset, kaksivaiheisen tunnistautuminen viestejä sekä avointen standardien laajalti valtuutukseen käyttämiä tunnisteita.

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman kirjautumista

Vaikutukset

  • Suojauksen ohittaminen
  • Tietojen muokkaaminen

Hyväksikäyttömenetelmä tiedossa

  • Ei julkaistu

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

Tuetuista ohjelmistoversioista haavoittuvia ovat:

Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18

Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2

 

Myös OpenJDK:n versiot 15, 17 ja 18 ovat haavoittuvia.

Haavoittuvia versioita on tarkennettu.