メインコンテンツへスキップ
公開日 :2019年2月15日 CVE番号 :CVE-2019-7644 著者 :Conny Dahlgren、DevilSec AB セキュリティリサーチャー

概要

Auth0-WCF-Service-JWTのNuGetパッケージで1.0.4未満のすべてのバージョンでは、署名の検証が失敗したときに出力されるエラーメッセージに、期待されるJWT署名に関する機密情報が含まれます。 Invalid signature.Expected 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgB1Y= got 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgBOo= この脆弱性により、攻撃者はこのエラーメッセージを使用して任意のJWTトークンの有効な署名を取得できます。そうして、攻撃者はトークンを偽造して認証および認可メカニズムを迂回できます。

自分は影響を受けますか?

以下の条件に該当する場合、この脆弱性の影響を受けます。
  • Auth0-WCF-Service-JWTのNuGetパッケージで、バージョン1.0.4未満を使用している
  • ユーザーインターフェースに署名検証の例外メッセージを表示するか、または攻撃者がそれを利用できるようにしている(たとえば、ログや診断メッセージなどを通じて取得できる)

修正方法

Auth0-WCF-Service-JWTライブラリーを使用している開発者は、最新バージョンである1.0.4にアップグレードしてください。 最新のパッケージはNuGetで取得できます:Install-Package Auth0-WCF-Service-JWT -Version 1.0.4

この更新はユーザーに影響を与えますか?

いいえ。この修正によりアプリケーションが実行するライブラリーにパッチが適用されますが、ユーザーとその現在のステータス、既存のセッションには影響はありません。