Passer au contenu principal

Documentation Index

Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt

Use this file to discover all available pages before exploring further.

Date de publication : 30 juin 2020 Numéro CVE : CVE-2020-15084 Crédit: IST Group

Présentation

Dans les versions antérieures (dont 5.3.3), la saisie d’ algorithmes n’était pas obligatoire dans la configuration. Lorsque les algorithmes ne sont pas spécifiés dans la configuration, et que l’on utilise jwks-rsa ou d’autres bibliothèques cryptographiques asymétriques, cela peut aboutir à un contournement de l’autorisation.

Cela me concerne-t-il?

Cette vulnérabilité vous concerne si toutes les conditions suivantes sont réunies :
  • vous utilisez express-, ET
  • vous n’avez pas spécifié d’ algorithmes dans la configuration de express-jwt, ET
  • vous utilisez des bibliothèques comme jwks-rsa en tant que secret.

Comment résoudre ce problème?

Spécifiez des algorithmes dans la configuration de express-jwt. Voici un exemple d’une configuration appropriée : 
const checkJwt = jwt({
  secret: jwksRsa.expressJwtSecret({
    rateLimit: true,
    jwksRequestsPerMinute: 5,
    jwksUri: `https://{DOMAIN}/.well-known/jwks.json`
  }),
  // Validate the audience and the issuer.
  audience: process.env.AUDIENCE,
  issuer: `https://{DOMAIN}/`,
  // restrict allowed algorithms
  algorithms: ['RS256']
});

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Les modifications apportées par le correctif n’affecteront pas vos utilisateurs si vous avez spécifié les algorithmes autorisés. Ce correctif rend désormais les algorithmes obligatoires dans la configuration.