メインコンテンツへスキップ
公開日: 10/03/2019 CVE番号: CVE-2019-16929 謝辞: Dennis Detering (Spike Reply GmbH)

概要

5.8.0 から 6.5.3 まで (両端を含む) の auth0.net および関連する NuGet パッケージ Auth0.AuthenticationAPI のバージョンには、IdentityTokenValidator という名前のクラスが含まれており、その公開 ValidateAsync メソッドは、Auth0 が発行したトークンに対してのみ有効な限定的な検証を実行します。

影響を受けますか?

次の条件がすべて当てはまる場合、この脆弱性の影響を受けます。
  • 信頼できないの検証に IdentityTokenValidator を使用している
  • 5.8.0 から 6.5.3 までの Auth0.AuthenticationAPI バージョンを使用している

どう対処すればよいですか?

開発者は、信頼できないIDトークンの検証に IdentityTokenValidator クラスを使用しないでください。IDトークンの検証に関する推奨事項については、IDトークンを検証するを参照してください。https://jwt.io/ は、オープンソースの検証ライブラリとその機能について知るうえで役立つ優れたリソースです。なお、ユースケースによっては追加のロジックが必要になる場合があります。 auth0.net と関連するNuGetパッケージ Auth0.AuthenticationAPI5.8.0 から 6.5.3 まで (両端を含む) を使用している開発者は、IdentityTokenValidator クラスを誤って使用しないよう、最新バージョン 6.5.4 にアップグレードしてください。

この更新はユーザーに影響しますか?

いいえ。この修正は、アプリケーションで実行されているクライアントライブラリにパッチを適用するものですが、ユーザーや現在のstate、既存のセッションには影響しません。