據 Security affairs 網站消息，4 月 21 日，安全研究人員 Khaled Nassar 在 Github 上公開了 Java 中新披露的數字簽名繞過漏洞的 PoC 代碼，該漏洞被追蹤為 CVE-2022-21449(CVSS 分數：7.5)。

　　漏洞的影響范圍主要涉及 Java SE 和 Oracle GraalVM 企業版的以下版本 ：

　　Oracle Java SE：7u331、8u321、11.0.14、17.0.2、18

　　Oracle GraalVM 企業版：20.3.5、21.3.1、22.0.0.2

　　該漏洞被稱為 Psychic Signatures，與 Java 對橢圓曲線數字簽名算法 ( ECDSA )實現有關，這是一種加密機制，用于對消息和數據進行數字簽名，以驗證內容的真實性和完整性。但 Psychic Signatures 導致的加密錯誤，能夠允許呈現一個易受攻擊的完全空白的簽名，攻擊者可以此利用偽造簽名并繞過身份驗證措施。

　　Nassar 證明，設置惡意 TLS 服務器可以欺騙客戶端接受來自服務器的無效簽名，從而有效地允許 TLS 握手的其余部分繼續進行。

　　據悉，漏洞在去年 11 月就由 ForgeRock 研究員 Neil Madden 發現，并于當天就通報給了甲骨文(Oracle)，Madden 表示，這個漏洞的嚴重性再怎么強調都不為過。

　　目前，甲骨文已在 4 月 19 日最新發布的 4 月補丁中修復了該漏洞，但由于 PoC 代碼的公布，建議在其環境中使用 Java 15、Java 16、Java 17 或 Java 18 的系統組織盡快修復。
　　（邯鄲小程序開發）