Haberler

Java Cryptographic Zafiyetinin İstismar Kodu (PoC) Yayınlandı

Java’da ortaya çıkan signature bypass zafiyeti için istismar kodu (PoC) yayınlandı. Söz konusu yüksek önem düzeyine sahip zafiyet , CVE-2022-21449 (CVSS puanı: 7.5) kodu ile izlenebiliyor. Java SE ve Oracle GraalVM Enterprise Edition’ın aşağıdaki sürümünlerini etkiliyor.

  • Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18
  • Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2

Java’da Psychic Signatures olarak adlandırılan kriptografik hata savunmasız uygulama tarafından hala geçerli olarak algılanabiliyor.

Kusurun başarılı bir şekilde kullanılması, saldırganın imzaları taklit etmesine ve uygulanan kimlik doğrulama önlemlerini atlamasına izin verebiliyor. Güvenlik araştırmacısı Khaled Nassar tarafından yayınlanan PoC, savunmasız bir client ve zararlı içeren bir TLS sunucusu bulunduruyor ; bunlardan birincisi sunucudan geçersiz bir imza kabul ediyor ve TLS engellenmeden devam etmesine etkin bir şekilde izin verir. PoC’nin piyasaya sürülmesi ile ortamlarında Java 15, Java 16, Java 17 veya Java 18 kullanan kuruluşların, aktif istismarı azaltmak için yamalara öncelik vermeleri öneriliyor.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.