Виммельбух, 3, перетяжка
Виммельбух, 3, перетяжка
Виммельбух, 3, перетяжка

В схеме шифрования JSON обнаружена критическая уязвимость

Новости

3К открытий3К показов

Служба безопасности Adobe сообщила о критической уязвимости в стандартной схеме шифрования JSON, которая позволяет злоумышленнику извлечь секретный ключ шифрования одного из участников защищенного соединения. Разработчикам, использующим библиотеки node-jose, go-jose, Nimbus JOSE+JWT, jose2go или jose4 с ECDH-ES, советуют скорее обновиться до последних версий.

Открытый стандарт JSON Web Token (JWT) относится к семейству OAuth, которое используется для создания токенов безопасности. Обнаруженный способ атаки полагается на эксплуатацию протоколов эллиптической криптографии, которые задействованы в процессе авторизации.

Эксперт из Adobe Антонио Сансо (Antonio Sanso) показал, как (очень) условно может работать программа злоумышленника. Для лучшего понимания методологии атаки исследователи могут также воспользоваться примерами уязвимого серверного кода и примером кода злоумышленника, опубликованными на GitHub.

Специалист из Paragon Скотт Арчишевски (Scott Arciszewski) призывает перестать использовать стандарт JWT, называя его по умолчанию ненадежным.

Следите за новыми постами
Следите за новыми постами по любимым темам
3К открытий3К показов