Java“年度解密漏洞”修复，网友：又多了坚持Java 8的理由

文则 | Travis

出品 | OSC开源新社区（ID：oschina2013）

卜辞则于前日推送了必需升级复建了一个该软件，该该软件容许接收者均均只是造某些种类的 SSL 证书和握手、双因素评鉴反馈，以及由一系列广泛应用使用的开放常规产生的授权凭证。这使得接收者可以有趣地对文则件和其他数据资料同步进行公钥。

该该软件负面影响了 Java 15 及以上原版中都对 ECDSA（椭圆弧线公钥正则表达式）的构建。ECDSA 是一种运用椭圆弧线密码学基本概念对反馈同步进行数字评鉴的正则表达式。与 RSA 或其他加密正则表达式相比，ECDSA 的一个最重要优势是它聚合的密钥相当大，适于用于最主要基于 FIDO 的 2FA、SMAL 和 OpenID 等常规。

这个该软件的 CVE ID 为 CVE-2022-21449，最初是由 ForgeRock 必需讲师 Neil Madden 所辨认出的，他在该软件概述中都写道：

如果你在这些必需程序中都使用 ECDSA 单张，并且如果你的客户端在 2022 年 4 月末最重要bug升级（CPU）之前运行任何 Java 15、16、17 或 18 原版，接收者就可以没法地完全绕过它们。如今几乎所有的 WebAuthn/FIDO 装置（最主要 Yubikeys）都使用 ECDSA 单张，许多 OIDC 提供商也在使用 ECDSA 单张的 JWT。

Madden 指出，上述这些深受负面影响的 Java 原版主要是因为它们无法核查 ECDSA 中都的两个最重要常量，以确保它们是非零的。

ECDSA 单张依赖于一个均均只是随机性，往往说明为 K，用于推导两个额外的数字 R 和 S。要的测试单张是否必需，必须核查相关 R 和 S 的关系式。当关系式紧贴也就是说时，单张才必需。为了使过程情况下工作，R 和 S 都必须为零。

这是因为如果值都是 0，关系式紧贴将仍然也就是说，单张也就长期以来必需。这也就是说须要提交一个纸面单张即可尝试通过的测试核查。

这个 bug 是由具体字符串从 C++ 改写变为 Java 时引入的，该软件最早可以起源于 2020 年 Java 15 发布的时候。该 bug 在去年 11 月末就已被辨认出并研究报告给了卜辞则，而卜辞则在推出的 4 月末最重要bug升级（CPU）中都复建了该问题。

卜辞则在国际标准该软件评分的系统（Common Vulnerability Scoring System）中都将该该软件的无可避免评量为 7.5（满分 10 分），但 Madden 根据他自己的评量，认为该该软件的无可避免评量为 10 分。除了 Madden 认为该该软件非常严重，另一位必需医学专家 Thomas Ptacek 更是将该该软件十佳 “等奖项加密该软件”（crypto bug of the year）。

目前 Java 15 及以上原版并没有像 Java 20世纪原版那样被微软广泛应用使用。必需公司 Snyk 在 2021 年统计的数据资料显示，当时 Java 15 均占了 12% 的占有率。

因为此“等奖项加密该软件”均负面影响 Java 15 及以上原版，所以有网友说明：又有一个坚定不移Java 8的理由了！

竞猜简介

SaaS进击：从基础知识到进阶

关于SaaS，追捧前来提问

还有系统设计书籍赠予哦

扫码立即参与简介

觉得亮眼，请点个在看呀