Palo Alto Networks hat ein schwerwiegende Sicherheitslücke im Open-Source-Projekt JsonWebToken entdeckt. Die Schwachstelle ist als kritisch bewertet, das Unbefugte unter Umständen aus der Ferne Schadcode einschleusen und auf einem Server ausführen können.
Die Anfälligkeit wurde bei der gezielten Suche nach Risiken in Open-Source-Projekten gefunden. Im zehnstufigen Common Vulnerability Scoring System (CVSS) ist die mit der Kennung CVE-2022-23529 versehene Lücke mit 7,6 Punkten bewertet. Ausnutzen lässt sich der Fehler mit einer speziell gestalteten Json-Web-Token-Anforderung.
Betroffen ist das JsonWebToken-Paket in der Version 8.5.1 oder früher. Nutzer sollten den verfügbaren Patch zeitnah einspielen und damit auf die Version 9.0.0 oder höher umsteigen.
Besonders schwerwiegend ist die Sicherheitslücke auch, weil das Open-Source-JavaScript-Paket benutzt wird, um Json Web Tokens zu verifizieren und zu signieren, die wiederum für Autorisierungs- und Authentifizierungszwecke verwendet werden. Laut Okta AuthO, das das Paket pflegt, wird es über neun Millionen Mal pro Woche heruntergeladen. Auf der JsonWebToken-Website ist zudem von mehr als 20.000 Abhängigkeiten die Rede.
„Open-Source-Projekte werden heute häufig als Rückgrat vieler Dienste und Plattformen genutzt. Dies gilt auch für die Implementierung sensibler Sicherheitsmechanismen wie JWTs, die eine große Rolle bei Authentifizierungs- und Autorisierungsprozessen spielen“, erklärte Palo Alto Networks. „Sicherheitsbewusstsein ist bei der Verwendung von Open-Source-Software von entscheidender Bedeutung. Die Überprüfung häufig verwendeter Open-Source-Sicherheitsimplementierungen ist notwendig, um ihre Zuverlässigkeit zu erhalten, und die Open-Source-Community kann sich daran beteiligen.“
Recall hilft beim Auffinden von beliebigen Dateien und Inhalten. Die neue Funktion führt Microsoft zusammen…
Es tritt auch unter Windows Server auf. Seit Installation der April-Patches treten Fehlermeldungen bei VPN-Verbindungen…
Das neue Release soll es allen Mitarbeitenden möglich machen, zur Ausgestaltung der IT beizutragen.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…