CVE-2019-7644 : Vulnérabilité de sécurité dans Auth0-WCF-Service-JWT

Date de publication: 15 février 2019

Numéro CV: CVE-2019-7644

Crédit: Conny Dahlgren, chercheur en sécurité chez DevilSec AB

Toutes les versions du paquet NuGet Auth0-WCF-Service-JWT inférieures à la version 1.0.4 contiennent des informations sensibles sur la signature JWT attendue dans un message d'erreur émis lorsque la validation de la signature JWT échoue :

Invalid signature. Expected 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgB1Y= got 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgBOo=

Cette vulnérabilité permet aux attaquants d'utiliser ce message d'erreur pour obtenir une signature valide pour des jetons JWT arbitraires. De cette manière, les attaquants peuvent falsifier les jetons pour contourner les mécanismes d'authentification et d'autorisation.

Vous êtes concerné par cette vulnérabilité si les conditions suivantes sont réunies :

• Vous utilisez une version du paquet NuGet Auth0-WCF-Service-JWT inférieure à 1.0.4

• Vous affichez un message d'exception de vérification de signature dans l'interface utilisateur ou vous le rendez accessible à l'attaquant (par exemple à travers les journaux ou les messages de diagnostic).

Les développeurs qui utilisent la bibliothèque Auth0-WCF-Service-JWT doivent passer à la dernière version 1.0.4.

Le paquet mis à jour est disponible sur NuGet : Install-Package Auth0-WCF-Service-JWT -Version 1.0.4

Non. Ce correctif corrige la bibliothèque que votre application exécute, mais n’aura pas d’impact sur vos utilisateurs, leur état actuel ou les sessions existantes.