Now Reading
Schwere Sicherheitslücke in „jsonwebtoken“-Bibliothek gefunden, die von mehr denn 22.000 Projekten verwendet wird

Schwere Sicherheitslücke in „jsonwebtoken“-Bibliothek gefunden, die von mehr denn 22.000 Projekten verwendet wird

high-severity security flaw

10. Januar 2023Ravie LakshmananSoftwaresicherheit / logistische Kette

In jener Open-Source-Bibliothek jsonwebtoken (JWT) wurde eine Sicherheitslücke mit hohem Schweregrad aufgedeckt, die nebst erfolgreicher Auswertung zur Remotecodeausführung hinauf einem Zielserver zur Folge haben könnte.

„Durch dasjenige Ausnutzen dieser Schwachstelle könnten Angreifer Remote Source Execution (RCE) hinauf einem Server hinhauen, jener eine in böswilliger Vorhaben erstellte JSON-Web-Token-Anspruch (JWT) verifiziert“, sagte Artur Oleyarsh, Forscher jener Palo Alto Networks Unit 42, in einem Montagsbericht.

Verfolgt denn CVE-2022-23529 (CVSS-Ordnung: 7.6) betrifft dasjenige Problem leer Versionen jener Bibliothek, einschließlich und unter 8.5.1, und wurde in Version 9.0.0 behoben, die am 21. Monat der Wintersonnenwende 2022 ausgeliefert wurde. Welcher Fehler wurde am 13. Juli vom Cybersicherheitsunternehmen gemeldet , 2022.

jsonwebtoken, dasjenige von Auth0 von Okta entwickelt und reinlich wird, ist ein JavaScript-Modul, dasjenige es Benutzern ermöglicht, JSON-Web-Token zu dekodieren, zu verifizieren und zu generieren, um Informationen sicher zwischen zwei Parteien zur Autorisierung und Authentifizierung zu transferieren. Es hat jenseits 10 Mio. wöchentliche Downloads in jener npm-Softwareregistrierung und wird von mehr denn 22.000 Projekten verwendet.

Von dort könnte die Möglichkeit, bösartigen Source hinauf einem Server auszuführen, die Vertraulichkeits- und Integritätsgarantien ermüden und es einem Angreifer notfalls geben, irgendwelche Dateien hinauf dem Host zu mit einer Überschrift versehen und mit einem vergifteten geheimen Schlüssel jede irgendwelche Kampagne auszuführen.

Sicherheitslücke mit hohem Schweregrad

„Um die in diesem Gebühr beschriebene Schwachstelle auszunutzen und den Zahl von secretOrPublicKey zu kontrollieren, muss ein Angreifer kombinieren Fehler im Secret-Management-Prozess ausnutzen“, erklärte Oleyarsh.

Da sich Open-Source-Software zunehmend denn lukrativer Einstiegsweg zum Besten von Bedrohungsakteure herausstellt, um Angriffe hinauf die logistische Kette zu inszenieren, ist es von entscheidender Einfluss, dass Schwachstellen in solchen Tools von nachgeschalteten Benutzern proaktiv identifiziert, gemindert und gepatcht werden.

Erschwerend kommt hinzu, dass Cyberkriminelle neu aufgedeckte Schwachstellen viel schneller ausnutzen und die Zeit zwischen jener Veröffentlichung eines Patches und jener Verfügbarkeit des Exploits drastisch verkürzen. Laut Microsoft dauert es nachdem jener öffentlichen Veröffentlichung eines Fehlers im Durchschnitt nur 14 Tage, solange bis ein Exploit in freier Wildbahn entdeckt wird.

Um dieses Problem jener Schwachstellenerkennung zu bekämpfen, kündigte Google letzten Monat die Veröffentlichung von OSV-Scanner an, einem Open-Source-Tool, dasjenige darauf abzielt, leer transitiven Abhängigkeiten eines Projekts zu identifizieren und relevante Mängel hervorzuheben, die sich darauf auswirken.

Fanden Sie diesen Begleiter interessant? Folge uns hinauf Twitter und LinkedIn, um weitere zuzüglich Inhalte zu Vorlesung halten, die wir veröffentlichen.



What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top