首页 > 安全 > 正文

Google Oauth客户库库允许部署恶意有效载荷

最后更新 :2022.05.20

Google在其OAuth客户库库中解决了一个高度缺陷对于Java,被跟踪为CVE-2021-22573(CVS得分8.7),可以由具有折衷令牌的攻击者利用,以部署恶意有效载荷。

Java的Google OAUTH客户端库旨在使用网络上的任何OAuth服务,而不仅仅是与Google API一起使用。该库是基于Java的  Google HTTP客户库库,它支持Java 7(或更高)标准(SE)和Enterprise(EE),Android 4.0(或更高)和Google App Engine。

]问题的根本原因是,Idtoken验证者未验证令牌是否正确签名。这意味着攻击者可以服务不来自受信任提供商的恶意有效载荷

漏洞是,Idtoken验证者未验证令牌是否正确签名。签名验证确保令牌有效载荷来自有效的提供商,而不是来自其他人。攻击者可以通过自定义有效载荷提供受损的令牌。阅读NIST发表的描述。令牌将通过客户端的验证。我们建议升级到1.33.3版或更高版本

安全研究人员Tamjid Al Rahat于3月12日报告了该漏洞,作为公司Bug Bounty计划的一部分,该问题被授予5,000美元。Google在4月份发布了1.33.3版的发布。

Google Oauth客户端库的用户建议将Java的用户升级到版本1.33.3或更高版本。



123] 请投票给安全事务作为最佳欧洲网络安全博客奖2022投票给您的获奖者在“弱者最佳个人(非商业)Securi”部分中为我投票

- END -

看更多