Node-Jose könyvtár sérülékenysége
Angol cím: 
Node-jose Library JSON Web Tokens Re-sign Vulnerability
CERT-Hungary ID: 
CH-14331
Felfedezés dátuma: 
2017-12-22
Összefoglaló: 

A Node-jose nyílt forráskódú könyvtár közepes kockázati besorolású sérülékenysége vált ismertté, amelyet kihasználva a támadó képes megváltoztatni a JSON Web Signature (JWS) fejlécét.

Leírás: 

A sérülékenység a Node-jose könyvtár JSON Web Signature (JWS) komponensében található, amelyben meghatározásra kerül a hitelesítéshez használt nyilvános kulcs. A sérülékenység lehetővé teszi a támadó számára az eredeti aláírás eltávolítását, egy új nyilvános kulcs fejléchez történő hozzáadását, majd az objektum (támadó tulajdonában lévő) magánkulccsal való aláírását, ezáltal lehetősége nyílik az adatszerkezet megváltoztatására. A sérülékenység kihasználásához a támadónak hozzá kell férnie a belső hálózathoz.

Hivatkozások: 
Megoldás: 
Frissítsen a legújabb verzióra
Érintett verziók: 
- 0.9.0 - 09.5
- 0.10.0
- 0.11.0