Güvenlikte Bu Hafta: Java’nın Psişik İmzaları, AWS Kaçışı ve Kötü Bir Windows Hatası


Java 15, 16, 17 ve 18 sürümlerinin (ve belki bazı eski sürümlerin) büyük bir sorunu var, ECDSA imza doğrulaması tamamen bozuk. Hikaye, istenmeyen sonuçların tehlikelerine, kendi kripto paranızı kullanmanın tuzağına ve neden önemli kodlar için bir test paketi oluşturmanız gerektiğine dair en iyi örnektir. Java 15’te, ECDSA doğrulama kodu yeniden yazılarak, kod C++’dan Java yerel uygulamasına taşındı. Yeni kod, başlatma ve ispat değerlerinin her ikisinin de sıfır olmadığına dair önemli bir kontrolü kaçırıyor.

A ECDSA’da tazeleme muhtemelen yardımcı olacaktır. Eliptik Eğri Dijital İmza Algoritması, mesajları şifrelemek veya imzalamak için bir genel-özel anahtar çiftinin kullanıldığı asimetrik bir şifreleme şemasıdır. ECDSA, tek yönlü işlev olarak büyük sayıların çarpanlara ayrılmasını kullanmak yerine, özel bir eliptik eğrinin içinde sıçrayan bir vektör kullanır. Bir imza, rastgele başlangıç ​​noktası olmak üzere iki değerden oluşur. rve kanıt s. ECDSA spesifikasyonunun bir kısmı, doğrulama işlevi bu değerlerle çarpmayı içerdiğinden, bunların sıfır olamayacağıdır. Sıfırla çarpma ve bölme algoritmaları kısa devre yapma eğilimindedir ve bu bir istisna değildir. bir imza r=0 ve s=0 her zaman geçerlidir, özel anahtar gerekmez.

Java kodu, imzadaki sıfırlar için akıl sağlığı kontrolünü dışarıda bıraktı, bu nedenle ECDSA imzalarını kullanan herhangi bir Java programı, önemsiz sahte kimlik bilgileriyle – tümü sıfırlarla – alt edilebilir. Bu kusurun en kötü yanı, bilinen bir sorun olması ve buna dahil olmasıdır. Wycheproof gibi yayınlanmış test senaryoları. Bu aşina olduğum bir proje değildi, ama şu anda kesinlikle kriptografik radarımda.

NIST ünlü test vektörlerini yayınlıyor çeşitli şifreleme algoritmaları için — yayınlanan düz metin, anahtar ve şifreli metin kümeleri, kodunuzun verilen şemayı doğru bir şekilde uyguladığını doğrulamak için kullanışlıdır. Bunlarla ilgili sorun, düşman olmamalarıdır; NIST vektörleri algoritmayı doğru şekilde kullanır. Wycheproof’un testlerinin tümü, bunun gibi son durum hatalarını bulmak için tasarlanmış geçersiz kullanımlardır. Bir kripto uygulamasıyla ilgileniyorsanız, kesinlikle bir test paketinde yayınlanan test vektörlerini kullanın, ancak Wycheproof veya benzeri bir şey ekleyin.

Bu kusur Salı günü duyuruldu, ancak ilk olarak yaklaşık beş ay önce Kasım ayında keşfedildi. Twitter’da hevesle gözlemlendiği gibi, Oracle’ın bir ekleme yapması uzun bir zaman. if Java kodlarına açıklama. Orada zaten bir tarayıcı Java programlarınızı soruna maruz kalmak için denetlemenize yardımcı olmak için. Resmi düzeltme, kritik güncellemelerin Nisan koleksiyonunda yayınlandı.

Log4Shell İkinci Dereceden Sonuçlar

Log4shell gibi büyük hataların ikinci dereceden sonuçlarını genellikle düşünmüyoruz, ancak gerçek şu ki, her hata düzeltmesi aynı zamanda olası yeni bir güvenlik açığıdır ve düzeltilen hata yaygın ve ciddi olduğunda, devam etme olasılığı daha yüksektir. böcekler. Bu istatistiksel piyangonun şanssız kazananı, bu durumda Amazon’du. AWS, Java altyapısına bir hot-yama sistemi ekledi ve bu sistem konteyner kaçışına karşı savunmasızdı.

Hotpatch hizmeti herhangi bir sorun için tarandı. java bir kapsayıcı içinde çalışan ve gerekirse bu işlemleri düzeltmeye çalışan uygulama. Bu işlemin bir kısmı, konteynerin çalıştırılmasını içeriyordu. java temeldeki ana bilgisayarda ikili – uygun kapsayıcı olmadan ve kök olarak çalışır. Konteynerin yerini almak oldukça önemsiz java kötü amaçlı bir şeyle ikili, hotpatch’i tetikleyin ve ardından yükü çalıştırdığında ana bilgisayarı devralın. Amazon kodlarını güncelledi, ancak kullandığınız hizmete bağlı olarak bazı manuel adımların atılması gerekebilir.

Windows RPC’si

Windows 7’ye kadar uzanan Windows sürümlerinde Uzaktan Yordam Çağrılarının nasıl işlendiği konusunda göze batan bir güvenlik sorunu. Şaşırtıcı olan şu ki, bu güvenlik açığına RPC bağlantı noktası (135) üzerinden değil, SMB (445) üzerinden erişiliyor, ancak 135 numaralı bağlantı noktasında yine de bir istismar bulunabilir. CVE-2022-26809, 9.8 CVSS puanı alan bir ön-auth Uzaktan Kod Yürütmedir (RCE). Akamai’nin sahip olduğu yamanın bir analizini yayınladıve bir tamsayı taşması yığın arabellek taşmasına neden olabilir gibi görünüyor.

Çalınan OAuth Jetonları

Gelişen bir hikayede GitHub şunu keşfetti: çalınan OAuth jetonları kullanılarak birden fazla özel depo kontrol edildi. Görünüşe göre jetonlar Heroku ve Travis-CI’den sızdırılmış. Bu kuruluşların her ikisi de belirteçlerini geçersiz kılıyor ve etkilenen kullanıcıları uyarıyor. Travis CI’nin sahip olduğu bir gönderi yayınladıbelirteçlere ortadaki adam saldırısı yoluyla erişildiğini öne sürüyor, ancak birkaç somut ayrıntı yayınlandı.

Vahşi Doğada Bekçi Saldırıları

CVE-2022-26318, Mart ayında “kimliği doğrulanmamış bir kullanıcının Firebox’ta rastgele kod yürütmesine izin verebilecek bir güvenlik açığı” ile duyuruldu ve düzeltildi. Bildiğimiz gibi, belirsiz bir güvenlik açığı açıklaması, kararlı bir saldırganın bir kusuru tersine mühendislik yapmasını önlemek için yeterli değildir; Mart ayının sonunda vahşi doğada saldırılar gözlemlendi. [Dylan Pindur] kurtarmaya geliyor Assetnote’tan bu gönderi, hatanın geçmişini özetler ve güvenlik açığının bir analizini yapar. Tüm dalış iyi şeyler, ancak kısa versiyon, hatalı biçimlendirilmiş bir XML belgesinin çok fazla çağrıyı tetiklemesidir. strcat()bir arabelleği yığına taşar.

Bitler ve Baytlar

Lenovo, dizüstü bilgisayar modellerinin geniş bir alanı için ürün yazılımı güncellemeleri yayınladı. araştırmacılar, Lenovo’nun UEFI bellenimindeki güvenlik açıklarını keşfetti. Sorunların tümü, üretim yazılımına kasıtsız olarak dahil edilen üretim ve hata ayıklama kodundan kaynaklanıyor gibi görünüyor. Tehlike, yeterince gelişmiş bir kötü amaçlı yazılımın artık yalnızca verilerinizi şifrelemekle yetinmemesidir, ürün yazılımına bir modül yükleyerek çok inatçı bir enfeksiyona neden olabilir.

A VMware güvenlik açığı, CVE-2022-22954, vahşi doğada istismar ediliyor. “Sunucu Tarafı Şablon Enjeksiyonu Uzaktan Kod Yürütme” olarak tanımlanır. Güvenlik açığı bulunan bileşen olan VMware Identity Manager, diğer VMware ürünlerinin bir bileşenidir, bu nedenle onu farkında olmadan çalıştırıyor olabilirsiniz. Bu bir CVSS 9.8 ve sömürülebilir ön kimlik doğrulaması gibi görünüyor.

Ve sonunda, Apache Struts 2.x’te yinelenen bir güvenlik açığı var: İlk düzeltmenin yetersiz olduğu kanıtlandığından CVE-2020-17530, CVE-2021-31805 olarak geri döndü. Bu kusur, OGNL kodunun iki kez değerlendirilmesine izin verdi ve bu da RCE’ye yol açabilir. Hata, bu ay yayınlanan 2.5.30 sürümünde tekrar düzeltildi. Umarım bu düzeltme tüm köşe vakalarını yakalar.


Kaynak : https://hackaday.com/2022/04/22/this-week-in-security-javas-psychic-signatures-aws-escape-and-a-nasty-windows-bug/

Yorum yapın