メインコンテンツへスキップ
公開日: 2019年2月15日 CVE 番号: CVE-2019-7644 謝辞: DevilSec AB のセキュリティ研究者である Conny Dahlgren

概要

1.0.4 未満のすべての Auth0-WCF-Service-JWT NuGet パッケージのバージョンでは、JWT 署名の検証に失敗した際に出力される次のエラーメッセージに、想定される 署名に関する機密情報が含まれています。 Invalid signature. Expected 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgB1Y= got 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgBOo= この脆弱性により、攻撃者はこのエラーメッセージを利用して、任意の JWT トークンに対する有効な署名を取得できます。これにより、攻撃者はトークンを偽造し、認証および認可のメカニズムを回避できます。

影響を受けるかどうか

次の条件に該当する場合、この脆弱性の影響を受けます。
  • Auth0-WCF-Service-JWT NuGet パッケージのバージョンが 1.0.4 未満である
  • 署名検証の例外メッセージをユーザーインターフェイスに表示している、または別の方法で攻撃者が参照できる状態になっている (たとえば、ログや診断メッセージを通じて)

これを修正するにはどうすればよいですか?

Auth0-WCF-Service-JWT ライブラリを使用している開発者は、最新バージョン 1.0.4 にアップグレードする必要があります。 更新版のパッケージは NuGet で入手できます: Install-Package Auth0-WCF-Service-JWT -Version 1.0.4

この更新はユーザーに影響しますか?

いいえ。この修正はアプリケーションで実行されるライブラリに対するパッチですが、ユーザーやその現在の state、既存のセッションに影響はありません。