gauge
区分
JVN番号
タイトル
JVN
深刻度
最終更新日
CVE番号
Update
JVNDB-2017-007582

jwt-scala にトークン署名検証回避の脆弱性

5.0
2018/03/07 12:23
CVE-2017-10862

JVNDB-2017-007582

jwt-scala にトークン署名検証回避の脆弱性
概要
JSON Web Token の Scala 実装である jwt-scala には、トークンの署名検証が回避される脆弱性が存在します。 jwt-scala は、JSON Web Token (JWT) を扱うための Scala 実装です。jwt-scala には、JWT のヘッダの処理に起因する、トークンの署名を適切に検証しない脆弱性 (CWE-287) が存在します。 この脆弱性情報は、下記の方が JPCERT/CC と開発者に報告し、開発者との調整を経て JVN 公表に至りました。 報告者: 株式会社リクルートテクノロジーズ RECRUIT RED TEAM 杉山 俊春 氏
想定される影響と対策
第三者によって細工された JWT のデータを、正しく署名されたトークンとして扱ってしまう可能性があります。
JVNDB-2017-007582は、[最新のソースコードを使用する] github リポジトリでは 2017年9月11日時点で本脆弱性の修正が行われています。 本脆弱性の修正 https://github.com/reallylabs/jwt-scala/commit/093a9891471608623c715abd08ab0c237489b05a [ワークアラウンドを実施する] JWT ヘッダ内の alg フィールドの値が適切な値であることを確認してください。
JVN情報 ※( )内はCVSS v3の値
深刻度5.0N/A
CVECVE-2017-10862
公表日2017/09/25 00:00
登録日2017/09/26 15:17
更新日2018/03/07 12:23
CVSS v2情報
全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。
New
JVNDB-2017-007582

jwt-scala にトークン署名検証回避の脆弱性

5.0
2017/09/26 15:17
CVE-2017-10862

JVNDB-2017-007582

jwt-scala にトークン署名検証回避の脆弱性
概要
JSON Web Token の Scala 実装である jwt-scala には、トークンの署名検証が回避される脆弱性が存在します。 jwt-scala は、JSON Web Token (JWT) を扱うための Scala 実装です。jwt-scala には、JWT のヘッダの処理に起因する、トークンの署名を適切に検証しない脆弱性 (CWE-287) が存在します。 この脆弱性情報は、下記の方が JPCERT/CC と開発者に報告し、開発者との調整を経て JVN 公表に至りました。 報告者: 株式会社リクルートテクノロジーズ RECRUIT RED TEAM 杉山 俊春 氏
想定される影響と対策
第三者によって細工された JWT のデータを、正しく署名されたトークンとして扱ってしまう可能性があります。
JVNDB-2017-007582は、[最新のソースコードを使用する] github リポジトリでは 2017年9月11日時点で本脆弱性の修正が行われています。 本脆弱性の修正 https://github.com/reallylabs/jwt-scala/commit/093a9891471608623c715abd08ab0c237489b05a [ワークアラウンドを実施する] JWT ヘッダ内の alg フィールドの値が適切な値であることを確認してください。
JVN情報 ※( )内はCVSS v3の値
深刻度5.05.3
CVECVE-2017-10862
公表日2017/09/25 00:00
登録日2017/09/26 15:17
更新日2017/09/26 15:17
CVSS v2情報
全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。