CVE-2019-7644：Auth0-WCF-Service-JWTのセキュリティ脆弱性

公開日：2019年2月15日

CVE番号：CVE-2019-7644

著者：Conny Dahlgren、DevilSec AB セキュリティリサーチャー

Auth0-WCF-Service-JWTのNuGetパッケージで1.0.4未満のすべてのバージョンでは、JWT署名の検証が失敗したときに出力されるエラーメッセージに、期待されるJWT署名に関する機密情報が含まれます。

Invalid signature.Expected 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgB1Y= got 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgBOo=

この脆弱性により、攻撃者はこのエラーメッセージを使用して任意のJWTトークンの有効な署名を取得できます。そうして、攻撃者はトークンを偽造して認証および認可メカニズムを迂回できます。

以下の条件に該当する場合、この脆弱性の影響を受けます。

• Auth0-WCF-Service-JWTのNuGetパッケージで、バージョン1.0.4未満を使用している

• ユーザーインターフェースに署名検証の例外メッセージを表示するか、または攻撃者がそれを利用できるようにしている（たとえば、ログや診断メッセージなどを通じて取得できる）

Auth0-WCF-Service-JWTライブラリーを使用している開発者は、最新バージョンである1.0.4にアップグレードしてください。

最新のパッケージはNuGetで取得できます：Install-Package Auth0-WCF-Service-JWT -Version 1.0.4

いいえ。この修正によりアプリケーションが実行するライブラリーにパッチが適用されますが、ユーザーとその現在のステータス、既存のセッションには影響はありません。