12/22/2022にJSON Web Tokenのnode.jsでの実装でAuth0が出してくれている「jsonwebtoken」に任意のファイル書き込みの脆弱性(High: CVE-2022-23529)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。
[過去関連リンク(最新5件)]
CVSS/プライオリティ
- CVE-2022-23529
- 影響するバージョン
- <= 8.5.1
- 一時情報源
- Priority
- NVD: 9.8 Critical
- GitHub: 7.6 High
- Project: Moderate
- CVSS Score / CVSS Vector
- NVD: Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- GitHub: Vector: Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L
- 影響するバージョン
修正方法
jsonwebtokenのバージョンを9.0に更新して下さい。
CVE概要(詳細はCVEのサイトをご確認ください)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23529
- 任意書きこみの脆弱性
- 該当のバージョンでは、悪意の有る攻撃者がキー取得パラメータを変更できる場合、ホストマシンに任意のファイルを書き込むことが出来ます。ユーザが影響を受けるのは、信頼されていないエンティティが、管理しているホスト上の”jwt.verify()”のキー取得パラメータ変更を許可されている場合のみです。
主なディストリビューションの対応方法
- Debian
- N/A
- Red Hat Enterprise Linux/CentOS
- N/A
- Ubuntu
- N/A
- SUSE/openSUSE
- N/A
対処方法
バージョンを9.0に更新して下さい。
