CVE-2019-16929：auth0.netに関するセキュリティ脆弱性

公開日：2019年10月03日

CVE番号：CVE-2019-16929

著者：Dennis Detering (Spike Reply GmbH)

auth0.netのバージョンとそれに関連付けられているNuGetパッケージのAuth0.AuthenticationAPI5.8.0から6.5.3までには公開のValidateAsyncメソッドを使用するIdentityTokenValidatorという名前のクラスが含まれますが、これが行う検証はわずかで、Auth0発行のトークンにのみ適しています。

以下の条件がすべて当てはまる場合には、この脆弱性の影響を受けます。

• IdentityTokenValidatorを使用して、信頼できないIDトークンを検証している

• 使用しているAuth0.AuthenticationAPIのバージョンが5.8.0から6.5.3までに該当する

開発者は、IdentityTokenValidatorクラスを使って、信頼できないIDトークンを検証しないようにします。IDトークンの検証に関する推奨については、「IDトークンを検証する」を参照してください。https://jwt.io/はオープンソースのJWT検証ライブラリーとその機能について、優れたリソースを提供しています。ユースケースによっては、追加のロジックが必要かもしれないことに注意してください。

開発者がauth0.netとそれに関連付けられているNuGetパッケージのAuth0.AuthenticationAPI5.8.0から6.5.3までを使用している場合には、最新のバージョン6.5.4にアップグレードし、IdentityTokenValidatorクラスが誤って使用されないようにします。

いいえ。この修正はアプリケーションが実行するクライアントライブラリーにパッチを適用しますが、ユーザーとその現在のステータス、既存のセッションには影響を与えません。