ออราเคิลปล่อยอัพเดตตามรอบปกติเดือนเมษายน มีการแก้ไขช่องโหว่ในซอฟต์แวร์จำนวนมากนับร้อยรายการ แต่ช่องโหว่หนึ่งที่กระทบคนจำนวนมากและค่อนข้างร้ายแรง คือ CVE-2022-21449 เป็นบั๊กการตรวจสอบลายเซ็นดิจิทัลแบบ EDSDA ทำให้คนร้ายสามารถปลอมลายเซ็นและเซิร์ฟเวอร์ตรวจสอบไม่ได้
กระบวนการเซ็นลายเซ็นดิจิทัลแบบ ECDSA ได้รับความนิยมสูงมากในช่วงหลังเพราะมีขนาดลายเซ็นเล็ก มีการใช้งานเป็นวงกว้าง เช่น JWT สำหรับการล็อกอินเว็บ , SAML/OIDC สำหรับการล็อกอินแบบ single sign-on , และ WebAuthn สำหรับการล็อกอินแบบหลายขั้นตอนหรือการล็อกอินแบบไร้รหัสผ่าน หากเว็บใดใช้การล็อกอินเพื่อตรวจสอบลายเซ็นเช่นนี้ก็เสี่ยงจะถูกแฮกเกอร์ปลอมตัวเป็นผู้ใช้สิทธิ์ระดับสูงได้
ช่องโหว่กระทบตั้งแต่ Java 8 ขึ้นไป ออราเคิลให้ระดับความร้ายแรงที่ระดับสูง แต่ถ้ามีการใช้งานตรงกับแนวทางที่กล่าวมาแล้วก็นับว่าร้ายแรงมาก ควรเร่งอัพเดตโดยเร็ว
ที่มา : blognone / วันที่เผยแพร่ 20 เม.ย.65
Link : https://www.blognone.com/node/128122
