Oracle Java SE 身份认证绕过漏洞预警（CVE-2022-21449）

2022-04-24

一、概要

近日，华为云关注到Oracle官方发布2022年第二季度重要安全补丁公告，披露了在Oracle Java SE特定的高版本中存在一处身份认证绕过漏洞（CVE-2022-21449）。ECDSA是基于椭圆曲线的数字签名算法，在特定的Java SE高版本中的ECDSA签名校验机制存在缺陷，攻击者可以伪证书、签名、双因子认证等授权凭证，实现身份认证绕过。目前漏洞细节已公开，风险高。

Java SE是Java的标准版，主要用于桌面应用开发，同时也是Java的基础。华为云提醒使用Java SE的用户及时安排自检并做好安全加固。

参考链接：

https://www.oracle.com/security-alerts/cpuapr2022.html

https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Oracle Java SE 17.0.2

Oracle Java SE 18

Oracle GraalVM Enterprise Edition 21.3.1

Oracle GraalVM Enterprise Edition 22.0.0.2

四、漏洞处置

官方已发布安全补丁更新，需用户持有正版软件的许可账号，登陆https://support.oracle.com后，下载最新补丁。

注：修复漏洞前请将资料备份，并进行充分测试。