Le mois dernier, Google a corrigé une faille très grave dans sa bibliothèque cliente OAuth pour Java qui pourrait être exploitée par un acteur malveillant avec un jeton compromis pour déployer des charges utiles arbitraires.
Suivi comme CVE-2021-22573la vulnérabilité est notée 8,7 sur 10 pour la gravité et concerne un contournement d’authentification dans la bibliothèque qui découle d’une vérification incorrecte de la signature cryptographique.
Crédité d’avoir découvert et signalé la faille le 12 mars est Tamjid Al Rahat, un doctorat de quatrième année. étudiant en informatique à l’Université de Virginie, qui a reçu 5 000 $ dans le cadre du programme de primes de bugs de Google.
« La vulnérabilité est que le vérificateur IDToken ne vérifie pas si le jeton est correctement signé », a déclaré un consultatif pour la faille lit.
« La vérification de signature garantit que la charge utile du jeton provient d’un fournisseur valide, et non de quelqu’un d’autre. Un attaquant peut fournir un jeton compromis avec une charge utile personnalisée. Le jeton passera la validation côté client. »
L’open-source bibliothèque Javaconstruit sur le Bibliothèque cliente HTTP Google pour Javapermet d’obtenir des jetons d’accès à n’importe quel service sur le Web prenant en charge la norme d’autorisation OAuth.
Google, dans son Fichier LISEZMOI pour le projet sur GitHub, note que la bibliothèque est prise en charge en mode maintenance et qu’elle ne corrige que les bogues nécessaires, indiquant la gravité de la vulnérabilité.
Il est recommandé aux utilisateurs de la bibliothèque google-oauth-java-client de mettre à jour version 1.33.3publié le 13 avril, pour atténuer tout risque potentiel.