Passer au contenu principal
Publié le : 15 février 2019 Numéro CVE : CVE-2019-7644 Crédit : Conny Dahlgren, chercheur en sécurité chez DevilSec AB

Aperçu

Toutes les versions du package NuGet Auth0-WCF-Service-JWT antérieures à la version 1.0.4 incluent des renseignements sensibles sur la signature attendue dans un message d’erreur généré lorsque la validation de la signature JWT échoue : Invalid signature. Expected 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgB1Y= got 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgBOo= Cette vulnérabilité permet à des attaquants d’utiliser ce message d’erreur pour obtenir une signature valide pour des JWT arbitraires. Ils peuvent ainsi forger des jetons pour contourner les mécanismes d’authentification et d’autorisation.

Suis-je concerné ?

Vous êtes concerné par cette vulnérabilité si les conditions suivantes sont réunies :
  • Vous utilisez une version du package NuGet Auth0-WCF-Service-JWT antérieure à 1.0.4
  • Vous affichez le message d’exception lié à la vérification de la signature dans l’interface utilisateur ou le rendez autrement accessible à l’attaquant (par exemple, dans des journaux ou des messages de diagnostic)

Comment corriger cela ?

Les développeurs qui utilisent la bibliothèque Auth0-WCF-Service-JWT doivent passer à la version la plus récente, 1.0.4. Le package mis à jour est disponible sur NuGet : Install-Package Auth0-WCF-Service-JWT -Version 1.0.4

Cette mise à jour aura-t-elle une incidence sur mes utilisateurs ?

Non. Ce correctif est appliqué à la bibliothèque utilisée par votre application, mais n’aura aucune incidence sur vos utilisateurs, leur état actuel ou les sessions existantes.