摘要:
ed25519-java security update
安全等级: Medium
公告ID: KylinSec-SA-2025-2458
发布日期: 2025年5月1日
关联CVE: CVE-2020-36843
这是一个基于Java实现的EdDSA(爱德华兹曲线数字签名算法)。其架构参考了SUPERCOP中的ref10实现(详见http://ed25519.cr.yp.to/software.html)。该库包含两种内部实现方式:
1.移植ref10的radix-2^51运算:高效且具备恒定时间特性,但仅支持Ed25519
2.基于BigInteger的通用实现:速度稍慢且不具备恒定时间特性,但支持任意EdDSA参数配置
安全修复:
EdDSA-Java(又称ed25519-java)0.3.0及之前版本存在签名可塑性漏洞,无法满足SUF-CMA(选择消息攻击下的强存在不可伪造性)安全要求。攻击者可针对已知消息生成与原始签名不同但依然有效的新签名。(CVE-2020-36843)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2020-36843 | KY3.4-5A | ed25519-java | Fixed |
| CVE-2020-36843 | V6 | ed25519-java | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| ed25519-java | noarch | 0.3.0-5.kb1.ky3_4 |
| ed25519-java-javadoc | noarch | 0.3.0-5.kb1.ky3_4 |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| ed25519-java | noarch | 0.3.0-5.ks6 |
| ed25519-java-javadoc | noarch | 0.3.0-5.ks6 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
