CVE-2018-11537：angular-jwt許可リストのバイパスに関するセキュリティ更新

概要
自分は影響を受けますか？
修正方法
この更新はユーザーに影響しますか？

公開日 ：2018年6月5日 CVE番号 ：CVE-2018-11537 著者：Stephan Hauser

概要

ドメイン許可リスト機能はバイパスされる可能性があります。たとえば、設定が次で初期化された場合： jwtInterceptorProvider.whiteListedDomains = ['whitelisted.Example.com']; 攻撃者は許可リストフィルターを通過するドメイン、whitelistedXexample.comをセットアップすることができます。この根本的な原因は、angular-jwtがwhiteListedDomainsエントリーを常に正規表現として扱い、.区切り文字が任意の文字と一致してしまうことです。

自分は影響を受けますか？

以下に該当する場合は、この脆弱性の影響を受けます。

バージョン0.1.10より前のangular-を使用している
コードにドメイン許可リストを使用している

修正方法

angular-jwtライブラリーを使用している開発者は、最新バージョンにアップグレードしてください：0.1.10。更新されたパッケージはNPMで入手できます：npm install angular-jwt@0.1.10 今後のセキュリティ更新に簡単に対応できるように、ライブラリーのパッチとマイナーレベルの更新が適用されるようpackage.jsonファイルが更新されていることを確認してください。

{
  "dependencies": {
    "angular-jwt": "^0.1.10"
  }
}

この更新はユーザーに影響しますか？

いいえ。この修正によりアプリケーションが実行するライブラリーにパッチが適用されますが、ユーザーとその現在のステータス、既存のセッションには影響はありません。

CVE-2018-15121：auth0-aspnetおよびauth0-aspnet-owninのセキュリティの脆弱性

CVE-2018-7307：auth0.js 9.3未満のセキュリティ脆弱性