CVE-2020-15084 : Mise à jour de sécurité pour la bibliothèque express-jwt

Présentation
Cela me concerne-t-il?
Comment résoudre ce problème?
Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Date de publication : 30 juin 2020 Numéro CVE : CVE-2020-15084 Crédit: IST Group

Présentation

Dans les versions antérieures (dont 5.3.3), la saisie d’ algorithmes n’était pas obligatoire dans la configuration. Lorsque les algorithmes ne sont pas spécifiés dans la configuration, et que l’on utilise jwks-rsa ou d’autres bibliothèques cryptographiques asymétriques, cela peut aboutir à un contournement de l’autorisation.

Cela me concerne-t-il?

Cette vulnérabilité vous concerne si toutes les conditions suivantes sont réunies :

vous utilisez express-, ET
vous n’avez pas spécifié d’ algorithmes dans la configuration de express-jwt, ET
vous utilisez des bibliothèques comme jwks-rsa en tant que secret.

Comment résoudre ce problème?

Spécifiez des algorithmes dans la configuration de express-jwt. Voici un exemple d’une configuration appropriée :

const checkJwt = jwt({
  secret: jwksRsa.expressJwtSecret({
    rateLimit: true,
    jwksRequestsPerMinute: 5,
    jwksUri: `https://{DOMAIN}/.well-known/jwks.json`
  }),
  // Validate the audience and the issuer.
  audience: process.env.AUDIENCE,
  issuer: `https://{DOMAIN}/`,
  // restrict allowed algorithms
  algorithms: ['RS256']
});

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Les modifications apportées par le correctif n’affecteront pas vos utilisateurs si vous avez spécifié les algorithmes autorisés. Ce correctif rend désormais les algorithmes obligatoires dans la configuration.

CVE-2020-15119 : mise à jour de sécurité pour la bibliothèque Auth0 Lock

CVE-2020-5391, CVE-2020-5392, CVE-2020-6753, CVE-2020-7948, CVE-2020-7947: Mise à jour de la sécurité pour le plugiciel WordPress pour Auth0