Geçen ay Google, Java için OAuth istemci kitaplığında, keyfi yükleri dağıtmak için güvenliği ihlal edilmiş bir belirteçle kötü niyetli bir aktör tarafından kötüye kullanılabilecek yüksek önemdeki bir kusuru ele aldı.
olarak izlendi CVE-2021-22573güvenlik açığı önem derecesine göre 10 üzerinden 8,7 olarak derecelendirilmiştir ve kitaplıktaki kriptografik imzanın uygunsuz bir şekilde doğrulanmasından kaynaklanan bir kimlik doğrulama atlaması ile ilgilidir.
12 Mart’ta kusurun keşfedilmesi ve bildirilmesiyle kredilendirildi Tamjid Al Rahat, dördüncü yıl Ph.D. Google’ın hata ödül programının bir parçası olarak 5.000 ABD doları ödüle layık görülen Virginia Üniversitesi Bilgisayar Bilimleri öğrencisi.
“Güvenlik açığı, IDToken doğrulayıcının belirtecin düzgün şekilde imzalanıp imzalanmadığını doğrulamamasıdır” danışma kusur okur için.
“İmza doğrulama, belirtecin yükünün başka birinden değil, geçerli bir sağlayıcıdan geldiğinden emin olur. Saldırgan, güvenliği ihlal edilmiş bir belirteci özel yük ile sağlayabilir. Belirteç, doğrulamayı istemci tarafında geçirir.”
açık kaynak Java kitaplığıüzerine inşa edilmiş Java için Google HTTP İstemci KitaplığıOAuth yetkilendirme standardını destekleyen web üzerindeki herhangi bir hizmete erişim belirteçleri almayı mümkün kılar.
Google, kendi BENİOKU dosyası GitHub’daki proje için, kitaplığın bakım modunda desteklendiğini ve yalnızca güvenlik açığının ciddiyetini gösteren gerekli hataları düzelttiğini belirtiyor.
google-oauth-java-client kitaplığının kullanıcılarının güncelleme yapmaları önerilir. sürüm 1.33.3herhangi bir potansiyel riski azaltmak için 13 Nisan’da yayınlandı.