Bibliothèque Cliente Oauth De Google Pour Java

Le mois dernier, Google a corrigé une faille très grave dans sa bibliothèque cliente OAuth pour Java qui pourrait être exploitée par un acteur malveillant avec un jeton compromis pour déployer des charges utiles arbitraires.

Suivi comme CVE-2021-22573la vulnérabilité est notée 8,7 sur 10 pour la gravité et concerne un contournement d’authentification dans la bibliothèque qui découle d’une vérification incorrecte de la signature cryptographique.

Crédité d’avoir découvert et signalé la faille le 12 mars est Tamjid Al Rahat, un doctorat de quatrième année. étudiant en informatique à l’Université de Virginie, qui a reçu 5 000 $ dans le cadre du programme de primes de bugs de Google.

« La vulnérabilité est que le vérificateur IDToken ne vérifie pas si le jeton est correctement signé », a déclaré un consultatif pour la faille lit.

« La vérification de signature garantit que la charge utile du jeton provient d’un fournisseur valide, et non de quelqu’un d’autre. Un attaquant peut fournir un jeton compromis avec une charge utile personnalisée. Le jeton passera la validation côté client. »

Publicité

L’open-source bibliothèque Javaconstruit sur le Bibliothèque cliente HTTP Google pour Javapermet d’obtenir des jetons d’accès à n’importe quel service sur le Web prenant en charge la norme d’autorisation OAuth.

La Cyber-Sécurité

Google, dans son Fichier LISEZMOI pour le projet sur GitHub, note que la bibliothèque est prise en charge en mode maintenance et qu’elle ne corrige que les bogues nécessaires, indiquant la gravité de la vulnérabilité.

Il est recommandé aux utilisateurs de la bibliothèque google-oauth-java-client de mettre à jour version 1.33.3publié le 13 avril, pour atténuer tout risque potentiel.


Rate this post
Publicité
Article précédentGoogle Russie dépose le bilan après la saisie d’un compte bancaire par les autorités
Article suivantLa vulnérabilité Huawei AppGallery offre gratuitement des applications payantes
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici