Уязвимость BDU:2022-02516

Идентификатор: BDU:2022-02516.

Наименование уязвимости: Уязвимость реализации алгоритма цифровой подписи ECDSA программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise Edition, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность информации.

Описание уязвимости: Уязвимость реализации алгоритма цифровой подписи ECDSA программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise Edition связана с некорректной проверкой криптографической подписи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность информации
Уязвимое ПО: Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Прикладное ПО информационных систем Red Hat Inc. Red Hat build of OpenJDK 17 | Прикладное ПО информационных систем Oracle Corp. Java SE 17.0.2 | Прикладное ПО информационных систем Oracle Corp. Java SE 18 | Прикладное ПО информационных систем Oracle Corp. GraalVM Enterprise Edition 21.3.1 | Прикладное ПО информационных систем Oracle Corp. GraalVM Enterprise Edition 22.0.0.2 | Сетевое средство, Сетевое программное средство IBM Corp. IBM Cloud Object Storage Systems от 3.16.0.121 до 3.16.7.55 включительно | Прикладное ПО информационных систем Axiom JDK Axiom AxiomJDK до 17.0.2.0.1 | Прикладное ПО информационных систем Axiom JDK Axiom AxiomJDK до 17.0.3 |

Наименование ОС и тип аппаратной платформы: Windows — | Red Hat Enterprise Linux 8 |
Дата выявления: 19.04.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— использование алгоритмов подписи EdDSA или Ed25519 (в случае необходимости поддержки устаревших алгоритмов – использование других вариантов реализации алгоритмов RSA или DSA);
— использование для Java (JVM) BouncyCastle в качестве провайдера криптографических функций (путем обновления файла java.security)

Информация от производителей:
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-21449

Для программных продуктов IBM Corp.:
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-with-openjdk-gnutls-affect-ibm-cloud-object-storage-systems-august-2022v1/

Для Axiom AxiomJDK:
https://axiomjdk.ru/blog/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-21449.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.oracle.com/security-alerts/cpuapr2022.html
https://github.com/khalednassar/CVE-2022-21449-TLS-PoC
https://jfrog.com/blog/cve-2022-21449-psychic-signatures-analyzing-the-new-java-crypto-vulnerability/
https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/
https://blog.malwarebytes.com/exploits-and-vulnerabilities/2022/04/oracle-releases-massive-critical-patch-update-containing-520-security-patches/
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-with-openjdk-gnutls-affect-ibm-cloud-object-storage-systems-august-2022v1/
https://axiomjdk.ru/blog/