Le mois dernier, Google a corrig\u00e9 une faille tr\u00e8s grave dans sa biblioth\u00e8que cliente OAuth pour Java qui pourrait \u00eatre exploit\u00e9e par un acteur malveillant avec un jeton compromis pour d\u00e9ployer des charges utiles arbitraires.<\/p>\n
Suivi comme CVE-2021-22573<\/strong>la vuln\u00e9rabilit\u00e9 est not\u00e9e 8,7 sur 10 pour la gravit\u00e9 et concerne un contournement d’authentification dans la biblioth\u00e8que qui d\u00e9coule d’une v\u00e9rification incorrecte de la signature cryptographique.<\/p>\n Cr\u00e9dit\u00e9 d’avoir d\u00e9couvert et signal\u00e9 la faille le 12 mars est Tamjid Al Rahat<\/a>, un doctorat de quatri\u00e8me ann\u00e9e. \u00e9tudiant en informatique \u00e0 l’Universit\u00e9 de Virginie, qui a re\u00e7u 5 000 $ dans le cadre du programme de primes de bugs de Google.<\/p>\n “La vuln\u00e9rabilit\u00e9 est que le v\u00e9rificateur IDToken ne v\u00e9rifie pas si le jeton est correctement sign\u00e9”, a d\u00e9clar\u00e9 un consultatif<\/a> pour la faille lit.<\/p>\n “La v\u00e9rification de signature garantit que la charge utile du jeton provient d’un fournisseur valide, et non de quelqu’un d’autre. Un attaquant peut fournir un jeton compromis avec une charge utile personnalis\u00e9e. Le jeton passera la validation c\u00f4t\u00e9 client.”<\/p>\n L’open-source biblioth\u00e8que Java<\/a>construit sur le Biblioth\u00e8que cliente HTTP Google pour Java<\/a>permet d’obtenir des jetons d’acc\u00e8s \u00e0 n’importe quel service sur le Web prenant en charge la norme d’autorisation OAuth.<\/p>\n Google, dans son Fichier LISEZMOI<\/a> pour le projet sur GitHub, note que la biblioth\u00e8que est prise en charge en mode maintenance et qu’elle ne corrige que les bogues n\u00e9cessaires, indiquant la gravit\u00e9 de la vuln\u00e9rabilit\u00e9.<\/p>\n Il est recommand\u00e9 aux utilisateurs de la biblioth\u00e8que google-oauth-java-client de mettre \u00e0 jour version 1.33.3<\/a>publi\u00e9 le 13 avril, pour att\u00e9nuer tout risque potentiel.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n