CVE-2022-21449

Oracle Java SE versões 7u331, 8u321, 11.0.14, 17.0.2, 18

Oracle GraalVM Enterprise Edition versões 20.3.5, 21.3.1, 22.0.0.2

O problema está relacionado à implementação do algoritmo de assinatura digital ECDSA no Oracle Java SE e no Oracle GraalVM Enterprise Edition. Ele permite que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa o sistema, resultando na criação, exclusão ou modificação não autorizada de dados críticos. A vulnerabilidade pode ser explorada usando APIs no componente especificado e se aplica a implantações Java que carregam e executam código não confiável. O número estimado de dispositivos potencialmente afetados não foi especificado.

A vulnerabilidade é causada por uma implementação defeituosa do algoritmo ECDSA, que falha ao verificar se os valores r e s são zero. Isso permite que um invasor apresente uma assinatura completamente vazia que ainda será aceita como válida pela implementação vulnerável. A exploração bem-sucedida pode levar à contornagem da validação de assinatura, permitindo que um invasor intercepte e modifique mensagens criptografadas ou contorne a autenticação em alguns casos.

Os detalhes técnicos sobre a exploração incluem o uso de APIs no componente especificado, como por meio de um serviço web que fornece dados às APIs. A função checkPassword() não é explicitamente mencionada como vulnerável, mas a questão está relacionada à validação de assinaturas digitais.

**Recomendação