Palo Alto Networks hat ein schwerwiegende Sicherheitslücke im Open-Source-Projekt JsonWebToken entdeckt. Die Schwachstelle ist als kritisch bewertet, das Unbefugte unter Umständen aus der Ferne Schadcode einschleusen und auf einem Server ausführen können.
Die Anfälligkeit wurde bei der gezielten Suche nach Risiken in Open-Source-Projekten gefunden. Im zehnstufigen Common Vulnerability Scoring System (CVSS) ist die mit der Kennung CVE-2022-23529 versehene Lücke mit 7,6 Punkten bewertet. Ausnutzen lässt sich der Fehler mit einer speziell gestalteten Json-Web-Token-Anforderung.
Betroffen ist das JsonWebToken-Paket in der Version 8.5.1 oder früher. Nutzer sollten den verfügbaren Patch zeitnah einspielen und damit auf die Version 9.0.0 oder höher umsteigen.
Besonders schwerwiegend ist die Sicherheitslücke auch, weil das Open-Source-JavaScript-Paket benutzt wird, um Json Web Tokens zu verifizieren und zu signieren, die wiederum für Autorisierungs- und Authentifizierungszwecke verwendet werden. Laut Okta AuthO, das das Paket pflegt, wird es über neun Millionen Mal pro Woche heruntergeladen. Auf der JsonWebToken-Website ist zudem von mehr als 20.000 Abhängigkeiten die Rede.
„Open-Source-Projekte werden heute häufig als Rückgrat vieler Dienste und Plattformen genutzt. Dies gilt auch für die Implementierung sensibler Sicherheitsmechanismen wie JWTs, die eine große Rolle bei Authentifizierungs- und Autorisierungsprozessen spielen“, erklärte Palo Alto Networks. „Sicherheitsbewusstsein ist bei der Verwendung von Open-Source-Software von entscheidender Bedeutung. Die Überprüfung häufig verwendeter Open-Source-Sicherheitsimplementierungen ist notwendig, um ihre Zuverlässigkeit zu erhalten, und die Open-Source-Community kann sich daran beteiligen.“
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…