アカウント名:
パスワード:
白紙の万能署名が作れる脆弱性ではなく、白紙手形が作れる脆弱性か、空署名を受け入れてしまう脆弱性というべきなのでは原文だと"blank piece of paper"や"blank signature"という表現が出てくるけど、この2つを合体させたらダメでしょう「白紙の証明書」でも意味は通るけど、影響範囲がJWT、SAML、OIDC IDトークン、WebAuthn 認証メッセージと証明書に限らないので網羅性に欠ける
空署名を受け入れてしまう脆弱性ですな。
ちなみに脆弱性のあったメソッドのあるクラスはsun.security.ec.ECDSAOperations。https://github.com/openjdk/jdk17u/commit/2d4103a3d929e05edca98e7703e08... [github.com]OpenJDK 8以前はまだこのメソッドが存在せず、同様の処理はあるものの今回対策されたのと同じ処理になってるので問題ない。Oracle Java 8に脆弱性があることを考えるとOracleがやらかしたように思える。
よくバグ仕込むしsunよりfix遅いからまったり待っとけばいいよ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
タイトルにもやもや (スコア:1)
白紙の万能署名が作れる脆弱性ではなく、白紙手形が作れる脆弱性か、空署名を受け入れてしまう脆弱性というべきなのでは
原文だと"blank piece of paper"や"blank signature"という表現が出てくるけど、この2つを合体させたらダメでしょう
「白紙の証明書」でも意味は通るけど、影響範囲がJWT、SAML、OIDC IDトークン、WebAuthn 認証メッセージと証明書に限らないので網羅性に欠ける
Re: (スコア:2, すばらしい洞察)
空署名を受け入れてしまう脆弱性ですな。
ちなみに脆弱性のあったメソッドのあるクラスはsun.security.ec.ECDSAOperations。
https://github.com/openjdk/jdk17u/commit/2d4103a3d929e05edca98e7703e08... [github.com]
OpenJDK 8以前はまだこのメソッドが存在せず、同様の処理はあるものの今回対策されたのと同じ処理になってるので問題ない。
Oracle Java 8に脆弱性があることを考えるとOracleがやらかしたように思える。
Re:タイトルにもやもや (スコア:0)
よくバグ仕込むしsunよりfix遅いからまったり待っとけばいいよ