Sicherheitslücke in Open-Source-Projekt JsonWebToken

Palo Alto Networks hat ein schwerwiegende Sicherheitslücke im Open-Source-Projekt JsonWebToken entdeckt. Die Schwachstelle ist als kritisch bewertet, das Unbefugte unter Umständen aus der Ferne Schadcode einschleusen und auf einem Server ausführen können.

Die Anfälligkeit wurde bei der gezielten Suche nach Risiken in Open-Source-Projekten gefunden. Im zehnstufigen Common Vulnerability Scoring System (CVSS) ist die mit der Kennung CVE-2022-23529 versehene Lücke mit 7,6 Punkten bewertet. Ausnutzen lässt sich der Fehler mit einer speziell gestalteten Json-Web-Token-Anforderung.

Betroffen ist das JsonWebToken-Paket in der Version 8.5.1 oder früher. Nutzer sollten den verfügbaren Patch zeitnah einspielen und damit auf die Version 9.0.0 oder höher umsteigen.

Besonders schwerwiegend ist die Sicherheitslücke auch, weil das Open-Source-JavaScript-Paket benutzt wird, um Json Web Tokens zu verifizieren und zu signieren, die wiederum für Autorisierungs- und Authentifizierungszwecke verwendet werden. Laut Okta AuthO, das das Paket pflegt, wird es über neun Millionen Mal pro Woche heruntergeladen. Auf der JsonWebToken-Website ist zudem von mehr als 20.000 Abhängigkeiten die Rede.

„Open-Source-Projekte werden heute häufig als Rückgrat vieler Dienste und Plattformen genutzt. Dies gilt auch für die Implementierung sensibler Sicherheitsmechanismen wie JWTs, die eine große Rolle bei Authentifizierungs- und Autorisierungsprozessen spielen“, erklärte Palo Alto Networks. „Sicherheitsbewusstsein ist bei der Verwendung von Open-Source-Software von entscheidender Bedeutung. Die Überprüfung häufig verwendeter Open-Source-Sicherheitsimplementierungen ist notwendig, um ihre Zuverlässigkeit zu erhalten, und die Open-Source-Community kann sich daran beteiligen.“

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Was macht Check Point als attraktiver Arbeitgeber aus?

Kim Forsthuber von Checkpoint erklärt, wie sie zum Security-Anbieter gekommen ist und was sie an…

2 Stunden ago

Android-Malware Rafel RAT aufgedeckt

Bösartiges Tool wird für Spionage, Fernzugriff, Datenklau und Ransomware verwendet. Check Point-Sicherheitsforscher beobachten Angriffe in…

4 Stunden ago

US-Regierung verhängt Verkaufsverbot gegen Kasperskys Antivirensoftware

Es tritt bereits im Juli in Kraft. Ab Ende September wird auch der Wiederverkauf von…

6 Stunden ago

Beta 3 von Android 15: Google stellt neue Sicherheitsfunktionen vor

Android 15 erreicht den Meilenstein Platform Stability. Die neue OS-Version verbessert die Implementierung von Passkeys…

22 Stunden ago

Apple entwickelt Hochsicherheits-OS für seine KI-Rechenzentren

Es soll die Grundlage für die Sicherheitsfunktion Private Compute Cloud bilden. Diese wiederum soll die…

23 Stunden ago

Google schließt schwerwiegende Sicherheitslöcher in Chrome

Sie stecken unter anderem in der JavaScript Engine V8. Betroffen sind Chrome für Windows, macOS…

1 Tag ago