アカウント名:
パスワード:
白紙の万能署名が作れる脆弱性ではなく、白紙手形が作れる脆弱性か、空署名を受け入れてしまう脆弱性というべきなのでは原文だと"blank piece of paper"や"blank signature"という表現が出てくるけど、この2つを合体させたらダメでしょう「白紙の証明書」でも意味は通るけど、影響範囲がJWT、SAML、OIDC IDトークン、WebAuthn 認証メッセージと証明書に限らないので網羅性に欠ける
空署名を受け入れてしまう脆弱性ですな。
ちなみに脆弱性のあったメソッドのあるクラスはsun.security.ec.ECDSAOperations。https://github.com/openjdk/jdk17u/commit/2d4103a3d929e05edca98e7703e08... [github.com]OpenJDK 8以前はまだこのメソッドが存在せず、同様の処理はあるものの今回対策されたのと同じ処理になってるので問題ない。Oracle Java 8に脆弱性があることを考えるとOracleがやらかしたように思える。
LTSとしてサポートされている範囲だと、OpenJDK 7,11にもverifySignedDigest()は無いですね。
OpenJDK 7の同クラスのソース: https://github.com/openjdk/jdk7u/blob/master/jdk/src/share/classes/sun... [github.com]OpenJDK 8の同クラスのソース: https://github.com/openjdk/jdk8u/blob/master/jdk/src/share/classes/sun... [github.com]OpenJDK 11の同クラスのソース: https://github.com/openjdk/jdk11u/blob/master/src/jdk.crypto.ec/share/... [github.com]
ただ、同じコミットでDSA.javaも直していますが、こっちは古いJDKで直さなくていいのかな・・・・
もうややこしくてユーザーレベルじゃ対処しようがないよね・使っているソフトウェアがどのバージョンを使用しているか・そのバージョンが脆弱性を抱えているか・オートアップデートで解消されるのか個別に手動が必要なのか
最新のJavaはGithubから手動で更新とかいちいちやってられんよみたいなライセンスも考えるとAndroidSDK入れてJAVA_HOME指定にしてsdkmanager --updateを定期実行させるとかかなぁ
# ぶっちゃけアプリ制作者も追いきれているのか疑問
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
タイトルにもやもや (スコア:1)
白紙の万能署名が作れる脆弱性ではなく、白紙手形が作れる脆弱性か、空署名を受け入れてしまう脆弱性というべきなのでは
原文だと"blank piece of paper"や"blank signature"という表現が出てくるけど、この2つを合体させたらダメでしょう
「白紙の証明書」でも意味は通るけど、影響範囲がJWT、SAML、OIDC IDトークン、WebAuthn 認証メッセージと証明書に限らないので網羅性に欠ける
Re: (スコア:2, すばらしい洞察)
空署名を受け入れてしまう脆弱性ですな。
ちなみに脆弱性のあったメソッドのあるクラスはsun.security.ec.ECDSAOperations。
https://github.com/openjdk/jdk17u/commit/2d4103a3d929e05edca98e7703e08... [github.com]
OpenJDK 8以前はまだこのメソッドが存在せず、同様の処理はあるものの今回対策されたのと同じ処理になってるので問題ない。
Oracle Java 8に脆弱性があることを考えるとOracleがやらかしたように思える。
Re:タイトルにもやもや (スコア:1)
LTSとしてサポートされている範囲だと、OpenJDK 7,11にもverifySignedDigest()は無いですね。
OpenJDK 7の同クラスのソース: https://github.com/openjdk/jdk7u/blob/master/jdk/src/share/classes/sun... [github.com]
OpenJDK 8の同クラスのソース: https://github.com/openjdk/jdk8u/blob/master/jdk/src/share/classes/sun... [github.com]
OpenJDK 11の同クラスのソース: https://github.com/openjdk/jdk11u/blob/master/src/jdk.crypto.ec/share/... [github.com]
ただ、同じコミットでDSA.javaも直していますが、こっちは古いJDKで直さなくていいのかな・・・・
Re: (スコア:0)
もうややこしくてユーザーレベルじゃ対処しようがないよね
・使っているソフトウェアがどのバージョンを使用しているか
・そのバージョンが脆弱性を抱えているか
・オートアップデートで解消されるのか個別に手動が必要なのか
最新のJavaはGithubから手動で更新とかいちいちやってられんよみたいな
ライセンスも考えるとAndroidSDK入れてJAVA_HOME指定にしてsdkmanager --updateを定期実行させるとかかなぁ
# ぶっちゃけアプリ制作者も追いきれているのか疑問