Kryptobugg i Java

ECDSA Kryptobugg i Java

En ny kryptobugg har identifierats i programspråket Java. Det gäller hur Java hanterar ECDSA-signaturer och buggen gör det möjligt att förfalska dessa signaturer. Sårbarheten gäller Java versioner mellan 15 och 18. Anledningen till att buggen uppstod var för att man bestämde sig för att skriva om koden från C++ till native Java.

Omfattningen av buggen är otroligt omfattande och gäller exempelvis OIDC, WebAuthn tokens, JWT och SAML. Intressant är också att Project Wycheproof som är utvecklat av Google har just tester för denna typ av sårbarhet.

ECDSA står för Elliptic Curve Digital Signature Algorithm och en längre förklaring av buggen finns på Neil Maddens blogg. Oklart gällande CVSS-scoring eftersom Oracle ger den 7.5 men Neil hävdar att den bör ligga på högsta och allvarligaste värdet som är 10.

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta experter inom cybersäkerhet. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>