Skip to content

Javug

Es ist mal wieder Zeit für einen Bug aus der "Aua!"-Ecke: Bei den neueren Java-Versionen 15 bis 18 hat sich im Dunstkreis Signaturprüfung von ECDA-Signaturen ein 'dieser Wert sollte niemals als Ergebnis rauskommen' eingeschlichen, was dazu führt, dass man mit Signaturen auf dem Wert 0 quasi alles 'signieren' kann. Gut, wusste ich auch nichts von, ist auch eher speziell, aber (und hier wird's wirklich eklig) Oracle schon seit November bekannt gewesen. Und da bequemen die sich dann, bis April auf dem Sicherheitsloch zu hocken, und dann erst nen Fix rauszurücken. Wofür will Orakel noch gleich Geld beim bezahlten Support? Weil, keine Leistung gibt's überall sonst auch, und zumeist noch günstiger.
tweetbackcheck