其他
谷歌 OAuth客户端库(Java版)中存在高危漏洞
编译:代码卫士
上个月,谷歌解决了OAuth 客户端库(Java版)中的一个高危漏洞(CVE-2021-22573),本可导致恶意人员使用受陷令牌部署任意payload。
该漏洞的CVSS评分为8.7,和因加密签名验证不当在库中引发验证绕过的问题有关。该漏洞是由弗吉尼亚大学博士在读四年级学生 Tamjid AI Rahat 发现并报告的,他为此获得5000美元的漏洞奖励。
安全公告指出,“造成该漏洞的原因是 IDToken 验证符并未验证令牌是否被正确签名。签名验证确保令牌的payload 源自合法提供商。攻击者可提供带有自定义payload 的受陷令牌。该令牌将通过对客户端的验证。”
该Java开源库构建于 Google HTTP Client Library for Java 基础之上,很可能获得支持 OAuth 授权标准的 web 上任意服务的访问令牌。谷歌在GitHub 上的项目 README 文件中提到,该库以维修模式支持,仅修复必要bug。
建议Google-oauth-jave-client 库用户更新至4月13日发布的1.33.3版本,以免遭受任何潜在风险影响。
谷歌紧急修复已遭在野利用的0day
谷歌和GitHub 联手提出新方法,提振软件供应链安全
GitHub:攻击者正在利用被盗 OAuth 令牌攻击数十家组织机构
Waydev 客户的GitHub 和 GitLab OAuth 令牌被盗,源代码遭访问
我找到一个价值5.5万美元的 Facebook OAuth账户劫持漏洞
https://thehackernews.com/2022/05/high-severity-bug-reported-in-googles.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。