CVE-2020-15084 : Mise à jour de sécurité pour la bibliothèque express-jwt

Date de publication : 30 juin 2020

Numéro CVE : CVE-2020-15084

Crédit: IST Group

Présentation

Dans les versions antérieures (dont 5.3.3), la saisie d’ algorithmes n’était pas obligatoire dans la configuration.

Lorsque les algorithmes ne sont pas spécifiés dans la configuration, et que l’on utilise jwks-rsa ou d'autres bibliothèques cryptographiques asymétriques, cela peut aboutir à un contournement de l’autorisation.

Cela me concerne-t-il?

Cette vulnérabilité vous concerne si toutes les conditions suivantes sont réunies :

vous utilisez express-jwt, ET
vous n’avez pas spécifié d’ algorithmes dans la configuration de express-jwt, ET
vous utilisez des bibliothèques comme jwks-rsa en tant que secret.

Comment résoudre ce problème?

Spécifiez des algorithmes dans la configuration de express-jwt. Voici un exemple d’une configuration appropriée :

const checkJwt = jwt({
  secret: jwksRsa.expressJwtSecret({
    rateLimit: true,
    jwksRequestsPerMinute: 5,
    jwksUri: `https://{DOMAIN}/.well-known/jwks.json`
  }),
  // Validate the audience and the issuer.
  audience: process.env.AUDIENCE,
  issuer: `https://{DOMAIN}/`,
  // restrict allowed algorithms
  algorithms: ['RS256']
});

Was this helpful?

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Les modifications apportées par le correctif n’affecteront pas vos utilisateurs si vous avez spécifié les algorithmes autorisés. Ce correctif rend désormais les algorithmes obligatoires dans la configuration.

Sécuriser

CVE-2020-15084 : Mise à jour de sécurité pour la bibliothèque express-jwt

Présentation

Cela me concerne-t-il?

Comment résoudre ce problème?

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?