Passer au contenu principal
Date de publication: 15 février 2019 Numéro CV: CVE-2019-7644 Crédit: Conny Dahlgren, chercheur en sécurité chez DevilSec AB

Présentation

Toutes les versions du paquet NuGet Auth0-WCF-Service-JWT inférieures à la version 1.0.4 contiennent des informations sensibles sur la signature attendue dans un message d’erreur émis lorsque la validation de la signature JWT échoue : Invalid signature. Expected 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgB1Y= got 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgBOo= Cette vulnérabilité permet aux attaquants d’utiliser ce message d’erreur pour obtenir une signature valide pour des jetons JWT arbitraires. De cette manière, les attaquants peuvent falsifier les jetons pour contourner les mécanismes d’authentification et d’autorisation.

Cela me concerne-t-il?

Vous êtes concerné par cette vulnérabilité si les conditions suivantes sont réunies :
  • Vous utilisez une version du paquet NuGet Auth0-WCF-Service-JWT inférieure à 1.0.4
  • Vous affichez un message d’exception de vérification de signature dans l’interface utilisateur ou vous le rendez accessible à l’attaquant (par exemple à travers les journaux ou les messages de diagnostic).

Comment résoudre ce problème?

Les développeurs qui utilisent la bibliothèque Auth0-WCF-Service-JWT doivent passer à la dernière version 1.0.4. Le paquet mis à jour est disponible sur NuGet : Install-Package Auth0-WCF-Service-JWT -Version 1.0.4

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Non. Ce correctif corrige la bibliothèque que votre application exécute, mais n’aura pas d’impact sur vos utilisateurs, leur état actuel ou les sessions existantes.