آسیب پذیری شدت بالا در کتابخانه Google’s OAuth Client برای Java


به این مطلب امتیاز دهید

گوگل ماه گذشته یک نقص با شدت بالا را در کتابخانه OAuth خود برای جاوا برطرف کرد که ممکن بود توسط یک عامل مخرب با یک Token در معرض خطر برای استقرار Payload ها مورد سوء استفاده قرار گیرد.

این آسیب‌ پذیری که به‌ عنوان CVE-2021-22573 شناخته می‌ شود، امتیاز 8.7 از 10 را دارد و به یک دور زدن احراز هویت در کتابخانه مربوط می‌ شود که ناشی از تأیید نادرست امضای رمزنگاری است.

Tamjid Al Rahat، دکترای سال چهارم دانشجوی علوم کامپیوتر در دانشگاه ویرجینیا با کشف و گزارش باگ گوگل در 12 مارس، 5000 دلار جایزه دریافت کرده است.
در توصیه‌ ای برای این نقص آمده است: «تأیید کننده IDToken تأیید نمی‌ کند که آیا Token به درستی امضا شده است یا خیر».

“تأیید امضا اطمینان می‌ دهد که Token Payload از یک ارائه‌ دهنده معتبر می‌ آید، نه از شخص دیگری. مهاجم می‌ تواند یک Token در معرض خطر را با Payload سفارشی ارائه کند. رمز اعتبارسنجی را از سمت مشتری ارسال می‌ کند.”

کتابخانه Open Source جاوا، ساخته شده بر روی Google HTTP Client Library برای Java، به دست آوردن Token های دسترسی به هر سرویسی را در وب که از استاندارد مجوز OAuth پشتیبانی می کند، ممکن می سازد.

گوگل، در فایل README خود برای پروژه در GitHub، خاطرنشان می‌ کند که این کتابخانه در حالت تعمیر و نگهداری پشتیبانی می‌ شود و تنها باگ‌ های ضروری را برطرف می‌ کند که نشان‌ دهنده شدت آسیب‌ پذیری است.

به کاربران کتابخانه google-oauth-java-client توصیه می شود برای کاهش خطرات احتمالی، نسخه 1.33.3 را که در 13 آوریل منتشر شد، به روز کنند.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.