В схеме шифрования JSON обнаружена критическая уязвимость

Служба безопасности Adobe сообщила о критической уязвимости в стандартной схеме шифрования JSON, которая позволяет злоумышленнику извлечь секретный ключ шифрования одного из участников защищенного соединения. Разработчикам, использующим библиотеки node-jose, go-jose, Nimbus JOSE+JWT, jose2go или jose4 с ECDH-ES, советуют скорее обновиться до последних версий.

Открытый стандарт JSON Web Token (JWT) относится к семейству OAuth, которое используется для создания токенов безопасности. Обнаруженный способ атаки полагается на эксплуатацию протоколов эллиптической криптографии, которые задействованы в процессе авторизации.

Эксперт из Adobe Антонио Сансо (Antonio Sanso) показал, как (очень) условно может работать программа злоумышленника. Для лучшего понимания методологии атаки исследователи могут также воспользоваться примерами уязвимого серверного кода и примером кода злоумышленника, опубликованными на GitHub.

Специалист из Paragon Скотт Арчишевски (Scott Arciszewski) призывает перестать использовать стандарт JWT, называя его по умолчанию ненадежным.

Источник: The Stack

Ещё интересное для вас:
— Биты, байты, Ада Лавлейс — тест на знание околоIT.
— Level Up — события и курсы, на которых можно поднять свой уровень.
— Работа мечты — лучшие IT-вакансии для вас.