BDU:2022-02516

BDU

КритическийПодтвержденаЭксплойт есть

Уязвимость реализации алгоритма цифровой подписи ECDSA программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise …

CVSS

9.8

Критический

EPSS

0.00

Опубликовано

2022-01-01

Обновлено

2022-01-01

Описание

Уязвимость реализации алгоритма цифровой подписи ECDSA программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise Edition связана с некорректной проверкой криптографической подписи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность информации

Теги · CWE

Без аутентификации

Затронутые продукты

Axiom jdk Axiom axiomjdkAxiom jdk Axiom axiomjdkAxiom jdk Axiom axiomjdkAxiom jdk Axiom axiomjdkIbm corp. Ibm cloud object storage systemsIbm corp. Ibm cloud object storage systemsOracle corp. Graalvm enterprise editionOracle corp. Graalvm enterprise editionOracle corp. Graalvm enterprise editionOracle corp. Graalvm enterprise editionOracle corp. Java seOracle corp. Java seOracle corp. Java seOracle corp. Java seRed hat inc. Red hat build of openjdkRed hat inc. Red hat build of openjdk

Вектор CVSS

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Хронология

2022-01-01

Опубликована

2022-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: L

Низкая (L)

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: U

Неизменная (U)

Воздействие на конфиденциальность

C: H

Высокое (H)

Воздействие на целостность

I: H

Высокое (H)

Воздействие на доступность

A: H

Высокое (H)

Индикаторы эксплуатации

EPSS

0.000 · p0

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

BDU:2022-02516

bdu_exploit · https://bdu.fstec.ru/vul

Enterprise

CVE-2022-21449

github-poc · https://github.com/volodymyr-hladkyi-symphony/demo-cve-2022-21449

Enterprise

Затронутые продукты

Red Hat

Red Hat Build Of Openjdk

Oracle

Java Se Graalvm Enterprise Edition

IBM

Ibm Cloud Object Storage Systems

Axiom Jdk

Axiom Axiomjdk

Продукт	Вендор	Статус
axiom axiomjdk	axiom jdk	Отслеживается
axiom axiomjdk	axiom jdk	Отслеживается
axiom axiomjdk	axiom jdk	Отслеживается
axiom axiomjdk	axiom jdk	Отслеживается
ibm cloud object storage systems	ibm corp.	Отслеживается
ibm cloud object storage systems	ibm corp.	Отслеживается
graalvm enterprise edition	oracle corp.	Отслеживается
graalvm enterprise edition	oracle corp.	Отслеживается
graalvm enterprise edition	oracle corp.	Отслеживается
graalvm enterprise edition	oracle corp.	Отслеживается
java se	oracle corp.	Отслеживается
java se	oracle corp.	Отслеживается
java se	oracle corp.	Отслеживается
java se	oracle corp.	Отслеживается
red hat build of openjdk	red hat inc.	Отслеживается
red hat build of openjdk	red hat inc.	Отслеживается

Источники данных

BDU

Связанные уязвимости

CVE-2022-21449

Внешние ссылки

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-21449@https://www.oracle.com/security-alerts/cpuapr2022.html@https://github.com/khalednassar/CVE-2022-21449-TLS-PoC@https://jfrog.com/blog/cve-2022-21449-psychic-signatures-analyzing-the-new-java-crypto-vulnerability/@https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/@https://blog.malwarebytes.com/exploits-and-vulnerabilities/2022/04/oracle-releases-massive-critical-patch-update-containing-520-security-patches/@https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-with-openjdk-gnutls-affect-ibm-cloud-object-storage-systems-august-2022v1/@https://axiomjdk.ru/blog/