Java 15 und neuere sowie die Versionen 7, 8 und 11 der Software sind von einer kritischen Sicherheitslücke betroffen. Konkret betrifft die Schwachstelle CVE-2022-21449 den Elliptic Curve Digital Signature Algorithm (ECDSA) des Frameworks. Sie soll es kriminellen Hackerinnen und Hackern ermöglichen, TSL-Zertifikate und -Signaturen, Zwei-Faktor-Authentifizierungscodes und Berechtigungsnachweise zu fälschen. Im Kern käme so etwas einem digitalen Identitätsdiebstahl gleich.
Identitätsdiebstahl bei Java möglich
Fast alle realen WebAuthn/FIDO-Geräte verwenden ECDSA-Signaturen, und viele OIDC-Anbieter verwenden ECDSA-signierte JSON Web Token. Tatsächlich handelt es sich bei der Lücke aber um einen relativ neuen Fehler. Er entstand offenbar durch das Umschreiben von EC-Code von nativem C++-Code nach Java in Java Version 15.
Diese Neuerung brachte zwar einige Vorteile in Bezug auf Speichersicherheit und Wartungsfreundlichkeit, aber eben auch eine Schwachstelle, die Identitätsdiebstahl maßgeblich erleichtert. „Es stellte sich heraus, dass einige neuere Java-Versionen für eine ähnliche Art von Trick anfällig waren, und zwar bei der Implementierung der weit verbreiteten ECDSA-Signaturen“, erklärt der IT-Sicherheitsexperte Neil Madden .
Wenn du eine der verwundbaren Versionen verwendest, könne ein Angreifer leicht einige Arten von SSL-Zertifikaten und Handshakes fälschen. Das ermögliche Abfangen und Ändern der Kommunikation, so Madden.
Dringend aktualisieren
Es sei schwierig, den Schweregrad dieses Fehlers einzuschätzen. „Wenn du ECDSA-Signaturen für einen dieser Sicherheitsmechanismen verwendst, kann ein Angreifer diese trivial und vollständig umgehen, wenn dein Server eine Java 15-, 16-, 17- oder 18-Version vor dem Critical Patch Update (CPU) vom April 2022 verwendet.“
Angeblich seien Madden zufolge nur die Java-Versionen 15 und neuer betroffen. Oracle selbst bezeichnet aber auch die Versionen 7, 8 und 11 als anfällig. Am Ende solltest du deine Software aber in jedem Fall auf dem aktuellsten Stand halten.
Quelle: ForgeRock
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.