WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Google vá lỗ hổng nghiêm trọng trong thư viện OAuth cho Java
Tháng trước, Google giải quyết một lỗ hổng nghiêm trọng trong thư viện ứng dụng máy khách OAuth dành cho Java, có thể bị lợi dụng để triển khai các tải trọng tùy ý.
Lỗ hổng (CVE-2021-22573) được đánh giá 8,7 trên 10 về mức nghiêm trọng và liên quan đến việc vượt qua xác thực do xác minh không đúng chữ ký mật mã.
Tamjid Al Rahat tại Đại học Virginia là người phát hiện ra lỗi này và đã nhận được 5.000 USD tiền thưởng từ Google.
Theo tư vấn an ninh, lỗ hổng là do trình xác minh IDToken không xác minh xem token có được ký đúng cách hay không. Xác minh chữ ký đảm bảo rằng tải trọng của token là từ một nhà cung cấp hợp lệ. Kẻ tấn công có thể cung cấp token bị xâm nhập với tải trọng tùy chỉnh. Token này sẽ vượt qua quá trình xác thực ở phía máy khách.
Thư viện Java nguồn mở, được xây dựng trên Google HTTP Client Library dành cho Java, giúp lấy token truy cập vào bất kỳ dịch vụ nào trên web hỗ trợ tiêu chuẩn ủy quyền OAuth.
Người dùng thư viện google-oauth-java-client nên cập nhật lên phiên bản 1.33.3, phát hành vào ngày 13/4, để giảm thiểu mọi rủi ro tiềm ẩn.
Lỗ hổng (CVE-2021-22573) được đánh giá 8,7 trên 10 về mức nghiêm trọng và liên quan đến việc vượt qua xác thực do xác minh không đúng chữ ký mật mã.
Tamjid Al Rahat tại Đại học Virginia là người phát hiện ra lỗi này và đã nhận được 5.000 USD tiền thưởng từ Google.
Theo tư vấn an ninh, lỗ hổng là do trình xác minh IDToken không xác minh xem token có được ký đúng cách hay không. Xác minh chữ ký đảm bảo rằng tải trọng của token là từ một nhà cung cấp hợp lệ. Kẻ tấn công có thể cung cấp token bị xâm nhập với tải trọng tùy chỉnh. Token này sẽ vượt qua quá trình xác thực ở phía máy khách.
Thư viện Java nguồn mở, được xây dựng trên Google HTTP Client Library dành cho Java, giúp lấy token truy cập vào bất kỳ dịch vụ nào trên web hỗ trợ tiêu chuẩn ủy quyền OAuth.
Người dùng thư viện google-oauth-java-client nên cập nhật lên phiên bản 1.33.3, phát hành vào ngày 13/4, để giảm thiểu mọi rủi ro tiềm ẩn.
Nguồn: The Hacker News