{"id":551447,"date":"2023-01-10T09:06:43","date_gmt":"2023-01-10T11:06:43","guid":{"rendered":"https:\/\/teknomers.com\/fr\/grave-faille-de-securite-detectee-dans-jsonwebtoken-bibliotheque-utilisee-par-plus-de-22-000-projets\/"},"modified":"2023-01-10T09:06:45","modified_gmt":"2023-01-10T11:06:45","slug":"grave-faille-de-securite-detectee-dans-jsonwebtoken-bibliotheque-utilisee-par-plus-de-22-000-projets","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/grave-faille-de-securite-detectee-dans-jsonwebtoken-bibliotheque-utilisee-par-plus-de-22-000-projets\/","title":{"rendered":"Grave faille de s\u00e9curit\u00e9 d\u00e9tect\u00e9e dans &quot;jsonwebtoken&quot; Biblioth\u00e8que utilis\u00e9e par plus de 22 000 projets"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des logiciels \/ cha\u00eene d&#8217;approvisionnement<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Une faille de s\u00e9curit\u00e9 tr\u00e8s grave a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e dans la biblioth\u00e8que open source jsonwebtoken (JWT) qui, si elle est exploit\u00e9e avec succ\u00e8s, pourrait conduire \u00e0 l&#8217;ex\u00e9cution de code \u00e0 distance sur un serveur cible.<\/p>\n<p>&#8220;En exploitant ce <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/advisories\/GHSA-27h2-hvpr-p74q\" target=\"_blank\">vuln\u00e9rabilit\u00e9<\/a>les attaquants pourraient r\u00e9aliser l&#8217;ex\u00e9cution de code \u00e0 distance (RCE) sur un serveur en v\u00e9rifiant une demande de jeton Web JSON (JWT) con\u00e7ue de mani\u00e8re malveillante \u00bb, Artur Oleyarsh, chercheur \u00e0 l&#8217;unit\u00e9 42 de Palo Alto Networks <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/jsonwebtoken-vulnerability-cve-2022-23529\/\" target=\"_blank\">m&#8217;a dit<\/a> dans un rapport du lundi.<\/p>\n<p>Suivi comme <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-23529\" target=\"_blank\"><strong>CVE-2022-23529<\/strong><\/a>  (score CVSS\u00a0: 7,6), le probl\u00e8me affecte toutes les versions de la biblioth\u00e8que, y compris et en dessous de 8.5.1, et a \u00e9t\u00e9 r\u00e9solu dans <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/auth0\/node-jsonwebtoken\/releases\/tag\/v9.0.0\" target=\"_blank\">version 9.0.0<\/a> exp\u00e9di\u00e9 le 21 d\u00e9cembre 2022. La faille a \u00e9t\u00e9 signal\u00e9e par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 le 13 juillet 2022.<\/p>\n<p>jsonwebtoken, qui est <a rel=\"nofollow noopener\" href=\"https:\/\/jwt.io\/introduction\" target=\"_blank\">d\u00e9velopp\u00e9 et maintenu<\/a> par Auth0 d&#8217;Okta, est un module JavaScript qui permet aux utilisateurs de d\u00e9coder, v\u00e9rifier et g\u00e9n\u00e9rer des jetons Web JSON comme moyen de transmettre en toute s\u00e9curit\u00e9 des informations entre deux parties pour l&#8217;autorisation et l&#8217;authentification.  Il a plus <a rel=\"nofollow noopener\" href=\"https:\/\/www.npmjs.com\/package\/jsonwebtoken\" target=\"_blank\">10 millions de t\u00e9l\u00e9chargements hebdomadaires<\/a> sur le registre des logiciels npm et est utilis\u00e9 par plus de 22 000 projets.<\/p>\n<p>Par cons\u00e9quent, la possibilit\u00e9 d&#8217;ex\u00e9cuter un code malveillant sur un serveur pourrait rompre les garanties de confidentialit\u00e9 et d&#8217;int\u00e9grit\u00e9, permettant potentiellement \u00e0 un acteur malveillant d&#8217;\u00e9craser des fichiers arbitraires sur l&#8217;h\u00f4te et d&#8217;effectuer toute action de son choix \u00e0 l&#8217;aide d&#8217;une cl\u00e9 secr\u00e8te empoisonn\u00e9e.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1673348803_189_Grave-faille-de-securite-detectee-dans-quotjsonwebtokenquot-Bibliotheque-utilisee-par.png\" alt=\"faille de s\u00e9curit\u00e9 de haute gravit\u00e9\" border=\"0\" data-original-height=\"394\" data-original-width=\"728\" title=\"faille de s\u00e9curit\u00e9 de haute gravit\u00e9\"\/><\/div>\n<p>&#8220;Cela \u00e9tant dit, afin d&#8217;exploiter la vuln\u00e9rabilit\u00e9 d\u00e9crite dans ce post et de contr\u00f4ler le <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/auth0\/node-jsonwebtoken#jwtverifytoken-secretorpublickey-options-callback\" target=\"_blank\">valeur secretOrPublicKey<\/a>un attaquant devra exploiter une faille dans le processus de gestion des secrets \u00bb, a expliqu\u00e9 Oleyarsh.<\/p>\n<p>Alors que les logiciels open source apparaissent de plus en plus comme une voie d&#8217;acc\u00e8s initiale lucrative pour les acteurs de la menace pour organiser des attaques de la cha\u00eene d&#8217;approvisionnement, il est crucial que les vuln\u00e9rabilit\u00e9s de ces outils soient identifi\u00e9es, att\u00e9nu\u00e9es et corrig\u00e9es de mani\u00e8re proactive par les utilisateurs en aval.<\/p>\n<p>Pire encore, les cybercriminels sont devenus beaucoup plus rapides pour exploiter les failles nouvellement r\u00e9v\u00e9l\u00e9es, r\u00e9duisant consid\u00e9rablement le temps entre la publication d&#8217;un correctif et la disponibilit\u00e9 de l&#8217;exploit.  Selon Microsoft, il ne faut que 14 jours en moyenne pour qu&#8217;un exploit soit d\u00e9tect\u00e9 dans la nature apr\u00e8s la divulgation publique d&#8217;un bogue.<\/p>\n<p>Pour lutter contre ce probl\u00e8me de d\u00e9couverte de vuln\u00e9rabilit\u00e9s, Google a annonc\u00e9 le mois dernier la sortie d&#8217;OSV-Scanner, un utilitaire open source qui vise \u00e0 identifier toutes les d\u00e9pendances transitives d&#8217;un projet et \u00e0 mettre en \u00e9vidence les lacunes pertinentes qui l&#8217;affectent.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/critical-security-flaw-found-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 janvier 2023\ue804Ravie LakshmananS\u00e9curit\u00e9 des logiciels \/ cha\u00eene d&#8217;approvisionnement Une faille de s\u00e9curit\u00e9 tr\u00e8s grave a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e dans la biblioth\u00e8que open source jsonwebtoken (JWT) qui, si elle est exploit\u00e9e avec succ\u00e8s, pourrait conduire \u00e0 l&#8217;ex\u00e9cution de code \u00e0 distance sur un serveur cible. &#8220;En exploitant ce vuln\u00e9rabilit\u00e9les attaquants pourraient r\u00e9aliser l&#8217;ex\u00e9cution de code \u00e0 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":551448,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[17448,4168,4158,4165,4161,429,35944,9048,11184,4157,4159,4171,4170,4167,4160,4163,4162,164,1174,138070,1835,4172,4169,2743,4166,4164],"class_list":["post-551447","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-bibliotheque","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-detectee","tag-faille","tag-grave","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-par","tag-projets","tag-quotjsonwebtokenquot","tag-securite","tag-securite-informatique","tag-securite-internet","tag-utilisee","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/551447","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=551447"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/551447\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/551448"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=551447"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=551447"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=551447"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}