Вийшов PoC для недавньої криптографічної вразливості Java. Про | TheHackestEver

Вийшов PoC для недавньої криптографічної вразливості Java. Проблема полягає в реалізації Java алгоритму цифрового підпису еліптичної кривої (ECDSA), криптографічного механізму для цифрового підпису повідомлень і даних для перевірки автентичності та цілісності вмісту. PoC включає вразливий клієнт і зловмисний TLS сервер, перший з яких приймає недійсний підпис від сервера, фактично дозволяючи безперешкодно продовжувати рукостискання TLS.

CVE-2022-21449 (CVSS score: 7.5), впливає на наступні версії (Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18; Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2).