JavaのECDSAの欠陥が企業にとって何を意味するか – darkreading.com

オラクルは、攻撃者がセキュリティ証明書、デジタル署名、2要素認証メッセージ、および認証クレデンシャルを偽造するために悪用する可能性のある、新しいバージョンのJavaの重大な脆弱性にパッチを適用しました。
この問題（CVE-2022-21449）は、楕円曲線デジタル署名アルゴリズムがJavaバージョン15、16、17、および18で実装される方法に存在します。
Java Development Kit（JDK）とJava Runtime Environment（JRE）のバージョンが異なる可能性があるため、システムに複数のJavaバージョンを同時にインストールできる可能性があるため、手動で確認する価値があります。
11月にMaddenがOracleに欠陥を報告したとき、ForgeRockは、Java 11で製品を展開するか、優先暗号化プロバイダーとしてBouncyCastleを使用するようにJava仮想マシンを構成するという2つの回避策を顧客に提供しました。
脆弱性が新しいバージョンにのみ存在するという事実は、Java 15以降の採用率がかなり低いままであるため、この欠陥の影響が鈍化する可能性があることを意味する場合があります。
最も広く使用されているバージョンは、Java 8が72％で、次にJava 11が42％です。