Go to Qiita Advent Calendar 2024 Top
LoginSignup
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@higuuu(Shuya Higuchi)

CVE-2022-23529のjsonWebTokenに関する脆弱性について

Posted at

概要

CVE-2022-23529
js のライブラリ jsonWebTokenに関する脆弱性が報告された。
このライブラリは jwt の署名の検証などに用いられている。

脅威の内容

詳細な説明に関してはこちらを参考にしていただきたいが、ざっくりとはこう。

jsonWebToken をもとに jwt の署名の検証をするときにpemファイル(公開鍵)の値を入れる引数がある。
そこに不正なオブジェクトを挿入すれば不正に突破される模様。

所感

個人的にはこの脅威に対して急ぎ対応する必要はないかなと思いました。
基本的にはjwtの署名の検証における公開鍵にあたる引数はバックエンドからのみ指定できるように実装されていて、てかそうなっていないと元から不正アクセスされてもおかしくないという代物。
つまりこの攻撃ができるような実装になっていたらそもそもこの脆弱性を直しても同様の攻撃ができてしまうので、実装自体を見直すべき。

最後に

あくまで個人の感想なので、皆さんの参考程度になれば幸いです。
ご指摘等あればお願いします。

2
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?