hadicanim
Aktif Üye
JavaScript tabanlı JsonWebToken kitaplığı, yaklaşık 22.000 yazılım projesinde kullanılıyor ve npm deposundan ayda 36 milyondan fazla indiriliyor. Koşullar doğruysa, saldırganlar kötü amaçlı kodu sistemlere uzaktan göndermek ve yürütmek için bir güvenlik açığı kullanabilir.
Tedarik zinciri saldırıları olası
Yaygın yazılım kitaplıklarındaki boşluklar özellikle tehlikelidir çünkü saldırganlar bunları kitaplığı kullanan sayısız uygulamaya saldırmak için kullanabilir. Buna tedarik zinciri saldırısı denir.
Güvenlik açığı uyarısı (CVE-2022-23529″yüksek“), Okta Auth0 geliştiricilerinin Github sayfasından geliyor. Palo Alto Networks Unit 42’den güvenlik araştırmacıları güvenlik açığını keşfetti. Kütüphane, JSON web belirteçleri oluşturmak, imzalamak ve doğrulamak için kullanılabilir.
karşı önlem
Ancak saldırılar, yalnızca saldırganlar anahtar alma parametrelerini değiştirebiliyorsa mümkündür. Uyarı mesajında, bunun varsayılan olarak mümkün olmadığı anlaşılıyor. Güvenlik araştırmacılarına göre, önkoşul karşılanırsa, saldırganların bir uygulama ile bir JsonWebToken sunucusu arasındaki gizli yönetim sürecini manipüle etmesi gerekecek.
Bu engel, ciddiyetin “yalnızca” yüksek olarak sınıflandırıldığı anlamına gelir. Yetersiz kontroller nedeniyle, saldırganlar hazır nesneler göndererek saldırılar gerçekleştirmiş olabilir.
Sorumlular, güvenlik sorununun Sürüm 9.0.0 çözmüş olmak Etkilenen yazılımın yama durumu şu anda bilinmiyor. Auth0, Ağustos 2022’den beri güvenlik yaması üzerinde çalıştığını iddia ediyor. Sürüm, Aralık 2022’de yapıldı.
güncellemeler
01/10/2023
14:33
izlemek
Gövde metnine eklenen JsonWebToken kitaplığının temeli.
(ile ilgili)
Haberin Sonu
Tedarik zinciri saldırıları olası
Yaygın yazılım kitaplıklarındaki boşluklar özellikle tehlikelidir çünkü saldırganlar bunları kitaplığı kullanan sayısız uygulamaya saldırmak için kullanabilir. Buna tedarik zinciri saldırısı denir.
Güvenlik açığı uyarısı (CVE-2022-23529″yüksek“), Okta Auth0 geliştiricilerinin Github sayfasından geliyor. Palo Alto Networks Unit 42’den güvenlik araştırmacıları güvenlik açığını keşfetti. Kütüphane, JSON web belirteçleri oluşturmak, imzalamak ve doğrulamak için kullanılabilir.
karşı önlem
Ancak saldırılar, yalnızca saldırganlar anahtar alma parametrelerini değiştirebiliyorsa mümkündür. Uyarı mesajında, bunun varsayılan olarak mümkün olmadığı anlaşılıyor. Güvenlik araştırmacılarına göre, önkoşul karşılanırsa, saldırganların bir uygulama ile bir JsonWebToken sunucusu arasındaki gizli yönetim sürecini manipüle etmesi gerekecek.
Bu engel, ciddiyetin “yalnızca” yüksek olarak sınıflandırıldığı anlamına gelir. Yetersiz kontroller nedeniyle, saldırganlar hazır nesneler göndererek saldırılar gerçekleştirmiş olabilir.
Sorumlular, güvenlik sorununun Sürüm 9.0.0 çözmüş olmak Etkilenen yazılımın yama durumu şu anda bilinmiyor. Auth0, Ağustos 2022’den beri güvenlik yaması üzerinde çalıştığını iddia ediyor. Sürüm, Aralık 2022’de yapıldı.
güncellemeler
01/10/2023
14:33
izlemek
Gövde metnine eklenen JsonWebToken kitaplığının temeli.
(ile ilgili)
Haberin Sonu