Oracle Java SE 身份认证绕过漏洞 (CVE-2022-21449)
日期:2022-05-09 17:08:57 发布人:教育信息化建设处 浏览量:3066
组件介绍
Oracle Java SE是美国甲骨文(Oracle)公司的一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。
漏洞描述
近日,深信服安全团队监测到一则Oracle Java SE组件存在身份认证绕过漏洞的信息,漏洞编号:CVE-2022-21449,漏洞威胁等级:高危。
该漏洞是由于Oracle Java SE受影响版本中对椭圆曲线数字签名算法(ECDSA)的实现存在缺陷,攻击者可利用该漏洞伪造签名并绕过身份认证措施。
影响范围
Oracle Java SE 15
Oracle Java SE 16
Oracle Java SE 17.0.2
Oracle Java SE 18
Oracle GraalVM Enterprise Edition 21.3.1
Oracle GraalVM Enterprise Edition 22.0.0.2
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下: