Oraclen Java-ohjelmistokirjastossa kriittinen haavoittuuus
Haavoittuvuus7/2022CVSS 7.5
Julkaistu
Päivitetty
Haavoittuvuus (CVE-2022-21449) ilmenee ECDSA-pohjaisten varmenteiden tarkistuksessa. Rikollisten on esimerkiksi mahdollista väärentää TLS-varmenne ja varmenteen allekirjoituksia. Haavoittuvuuden korjaavat päivitykset tuli asentaa niin pian kuin mahdollista.
Haavoittuvuuden avulla on mahdollista väärentää TLS-varmenne ja allekirjoitukset, kaksivaiheisen tunnistautuminen viestejä sekä avointen standardien laajalti valtuutukseen käyttämiä tunnisteita.
Kohde
- Työasemat ja loppukäyttäjäsovellukset
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman kirjautumista
Vaikutukset
- Suojauksen ohittaminen
- Tietojen muokkaaminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Tuetuista ohjelmistoversioista haavoittuvia ovat:
Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18
Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2
Myös OpenJDK:n versiot 15, 17 ja 18 ovat haavoittuvia.
Haavoittuvia versioita on tarkennettu.