Google heeft vorige maand een zeer ernstige fout aangepakt in zijn OAuth-clientbibliotheek voor Java die zou kunnen worden misbruikt door een kwaadwillende actor met een gecompromitteerd token om willekeurige payloads te implementeren.
Bijgehouden als CVE-2021-22573heeft de kwetsbaarheid een score van 8,7 uit 10 voor ernst en heeft betrekking op een authenticatie-bypass in de bibliotheek die voortkomt uit een onjuiste verificatie van de cryptografische handtekening.
Gecrediteerd met het ontdekken en rapporteren van de fout op 12 maart is Tamjid Al Rahat, een vierdejaars Ph.D. student Computerwetenschappen aan de Universiteit van Virginia, die $ 5.000 heeft ontvangen als onderdeel van Google’s bug bounty-programma.
“De kwetsbaarheid is dat de IDToken-verifier niet verifieert of het token correct is ondertekend”, en adviserend voor de fout leest.
“Handtekeningverificatie zorgt ervoor dat de payload van de token afkomstig is van een geldige provider, niet van iemand anders. Een aanvaller kan een gecompromitteerde token leveren met een aangepaste payload. De token zal de validatie aan de clientzijde doorstaan.”
de open source Java-bibliotheekgebouwd op de Google HTTP-clientbibliotheek voor Javamaakt het mogelijk om toegangstokens te verkrijgen voor elke service op het web die de OAuth-autorisatiestandaard ondersteunt.
Google, in zijn README-bestand voor het project op GitHub, merkt op dat de bibliotheek wordt ondersteund in onderhoudsmodus en dat het alleen noodzakelijke bugs repareert, wat een indicatie is van de ernst van de kwetsbaarheid.
Gebruikers van de google-oauth-java-client-bibliotheek wordt aangeraden om te updaten naar: versie 1.33.3uitgebracht op 13 april, om elk potentieel risico te beperken.
