Spring/Spring-Security 是否受 CVE-2022-21449 影响?
Is Spring/Spring-Security affected by CVE-2022-21449?
是否存在 CVE-2022-21449 可能导致 hack/abuse 的情况?
我在 spring 安全的 github 回购中展示了 java.security 被广泛使用,但我不知道库中的使用如何导致安全漏洞。
这不是 Spring / Spring 安全 本身 中的漏洞。该漏洞存在于 JVM 本身。具体来说,就是在ECDSA(Elliptic Curve Digital Signature Algorithm)签名的签名校验中。
为了在基于 Spring 的应用程序中出现问题,应用程序需要依赖 ECDSA 验证来确保其安全性的某些方面。签名验证的一个常见用途是当您的应用程序从不受信任的第 3 方获取代码,并在安全沙箱中运行它时。攻击者可以注入带有伪造签名的 JAR。
另一种可能性是,如果您的应用程序或 Spring 本身出于某种目的使用 ECDSA 签名本身。
但你可以说这是没有实际意义的。如果您只是升级 Spring 应用程序正在使用的 Java 安装,则无需更深入地了解它们是否(间接)易受攻击。
是否存在 CVE-2022-21449 可能导致 hack/abuse 的情况?
我在 spring 安全的 github 回购中展示了 java.security 被广泛使用,但我不知道库中的使用如何导致安全漏洞。
这不是 Spring / Spring 安全 本身 中的漏洞。该漏洞存在于 JVM 本身。具体来说,就是在ECDSA(Elliptic Curve Digital Signature Algorithm)签名的签名校验中。
为了在基于 Spring 的应用程序中出现问题,应用程序需要依赖 ECDSA 验证来确保其安全性的某些方面。签名验证的一个常见用途是当您的应用程序从不受信任的第 3 方获取代码,并在安全沙箱中运行它时。攻击者可以注入带有伪造签名的 JAR。
另一种可能性是,如果您的应用程序或 Spring 本身出于某种目的使用 ECDSA 签名本身。
但你可以说这是没有实际意义的。如果您只是升级 Spring 应用程序正在使用的 Java 安装,则无需更深入地了解它们是否(间接)易受攻击。