CVE-2022-23539、CVE-2022-23541、CVE-2022-23540: jsonwebtoken のセキュリティ更新 - Auth0 Docs

公開日: 2022年12月21日 CVE 番号: CVE-2022-23539, CVE-2022-23541, CVE-2022-23540

概要

Auth0 は、4 件の脆弱性に対処するため、jsonwebtoken ライブラリの新しいメジャーバージョンをリリースしました。以下のセキュリティアドバイザリを確認し、新しいメジャーバージョンへアップグレードすることを推奨します。

キータイプが制限されていないため、レガシーキーが使用される可能性があります: CVE-2022-23539
キー取得関数の安全でない実装により、RSA から HMAC への公開/秘密トークンの偽造が可能になるおそれがあります: CVE-2022-23541
.verify() における安全でないデフォルトアルゴリズムにより、署名の検証がバイパスされる可能性があります: CVE-2022-23540

影響を受けますか？

構成によっては、jsonwebtoken のバージョン 8.5.1 以下 (<= 8.5.1) を使用している場合、影響を受ける可能性があります。詳細については、各セキュリティアドバイザリを参照してください。

これを修正するにはどうすればよいですか？

jsonwebtoken を使用している場合は、バージョン 9.0.0 以降にアップグレードしてください。追加の設定が必要になる場合があります。詳しくは、各セキュリティアドバイザリを参照してください。

この更新はユーザーに影響しますか？

バージョン 9.0.0 への更新は、設定やアプリケーションの要件によっては、ユーザーに影響する可能性があります。詳細については、各セキュリティアドバイザリを参照してください。

セキュリティ情報

CVE-2022-23505: passport-wsfed-saml2 ライブラリのセキュリティ更新