Le mois dernier, Google a corrigé une faille très grave dans sa bibliothèque cliente OAuth pour Java qui pourrait être exploitée par un acteur malveillant avec un jeton compromis pour déployer des charges utiles arbitraires. Suivie comme CVE-2021-22573, la vulnérabilité est notée 8,7 sur 10 pour la gravité et concerne un contournement d’authentification dans la bibliothèque qui découle d’une vérification incorrecte de la signature cryptographique. Tamjid Al Rahat, un doctorat de quatrième année, est crédité d’avoir découvert et signalé la faille le 12 mars. étudiant en informatique à l’Université de Virginie, qui a reçu 5 000 $ dans le cadre du programme de primes de bugs de Google. « La vulnérabilité est que le vérificateur IDToken ne vérifie pas si le jeton est correctement signé », indique un avis pour la faille. « La vérification de signature garantit que la charge utile du jeton provient d’un fournisseur valide, et non de quelqu’un d’autre. Un attaquant peut fournir un jeton compromis avec une charge utile personnalisée. Le jeton passera la validation côté client. » La bibliothèque Java open source, construite sur la bibliothèque cliente HTTP de Google pour Java, permet d’obtenir des jetons d’accès à n’importe quel service sur le Web qui prend en charge la norme d’autorisation OAuth. Google, dans son fichier README pour le projet sur GitHub, note que la bibliothèque est prise en charge en mode maintenance et qu’elle ne corrige que les bogues nécessaires, indiquant la gravité de la vulnérabilité. Il est recommandé aux utilisateurs de la bibliothèque google-oauth-java-client de mettre à jour vers la version 1.33.3, publiée le 13 avril, pour atténuer tout risque potentiel.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *