Oracle hat eine fiese Schwachstelle im Java-Framework gepatcht, deren Schwere laut Sicherheitsexperten nicht hoch genug eingeschätzt werden kann.
Der als CVE-2022-21449 verfolgte Fehler wurde im Elliptic Curve Digital Signature Algorithm (ECDSA) des Unternehmens für Java 15 und höher entdeckt. Es ermöglicht Angreifern, TSL-Zertifikate und -Signaturen, Zwei-Faktor-Authentifizierungscodes, Autorisierungsdaten und mehr zu fälschen.
Wie ArsTechnica erklärt, ist ECDSA ein Algorithmus, der Nachrichten digital authentifiziert. Da es Schlüssel generiert, wird es häufig in Standards wie FIDO Two-Factor Authentication, Security Assertion Markup Language, OpenID und JSON verwendet.
Fälschung von SSL-Zertifikaten und Handshakes
Die Schwachstelle wurde zuerst von Neil Madden von ForgeRock entdeckt, der den Exploit mit dem leeren Personalausweis in der Science-Fiction-Serie Doctor Who verglich. In der Serie sieht die Person, die auf den Ausweis schaut, alles, was der Inhaber sehen möchte, obwohl der Ausweis leer ist.
„Es stellte sich heraus, dass einige neuere Java-Versionen bei der Implementierung weit verbreiteter ECDSA-Signaturen für eine ähnliche Art von Hack anfällig waren“, erklärte Madden.
„Wenn Sie eine der anfälligen Versionen ausführen, kann ein Angreifer bestimmte Arten von SSL-Zertifikaten und Handshakes (die das Abfangen und Ändern der Kommunikation ermöglichen), signierte JWTs, SAML-Assertionen oder Sicherheitstokens leicht manipulieren. OIDC-Identifizierung und sogar WebAuthn-Authentifizierungsnachrichten, alles mit dem digitalen Äquivalent eines leeren Blattes Papier.
Dem Fehler wurde ein offizieller Schweregrad von 7,5/10 gegeben, aber Madden ist mit der Bewertung nicht einverstanden.
„Es ist schwierig, die Schwere dieses Fehlers zu übertreiben. Wenn Sie ECDSA-Signaturen für einen dieser Sicherheitsmechanismen verwenden, kann ein Angreifer sie trivial und vollständig umgehen, wenn auf Ihrem Server die Java-Version 15, 16, 17 oder 18 vor dem April Critical Patch Update (CPU) 2022 ausgeführt wird. Zum Kontext, fast Alle WebAuthn/FIDO-Geräte in der realen Welt (einschließlich Yubikeys verwenden ECDSA-Signaturen und viele OIDC-Anbieter verwenden ECDSA-signierte JWTs), sagte er.
Offenbar sind nur die Java-Versionen 15 und höher betroffen, obwohl Oracle auch die Versionen 7, 8 und 11 als anfällig gelistet hat. Alle Kunden werden jedoch aufgefordert, ihre Terminals auf die neueste Version zu aktualisieren.
Via Ars Technica