Google の OAuth Client Library for Java における深刻な脆弱性 CVE-2021-22573 が FIX

High-Severity Bug Reported in Google’s OAuth Client Library for Java

2022/05/19 TheHackerNews — 2022年4月に Google は、Java 用 OAuth クライアント・ライブラリに存在する深刻度の高い脆弱性に対処した。この欠陥は、漏洩したトークンを用いる脅威アクターに対して、任意のペイロード展開を許す可能性があるというものだ。この脆弱性 CVE-2021-22573 の深刻度は CVSS 値 8.7 と評価され、暗号署名の不適切な検証に起因し、ライブラリの認証バイパスにいたる恐れがある。

この脆弱性を発見し、3月12日に報告したのは、バージニア大学 Computer Science 学部博士課程4年の Tamjid Al Rahat であり、Google のバグバウンティ・プログラムの一環として、彼は $5,000 を獲得している。


この脆弱性に関するアドバイザリには、「この脆弱性は、IDToken 検証器が、トークンへの適切な署名の有無を検証しない点にある。署名の検証は、トークンのペイロードが、他の誰かからではなく、有効なプロバイダーから来たものであることを確認してしまう。したがって攻撃者は、カスタム・ペイロードを持つ危険なトークンを提供でき、そのトークンはクライアント側での検証を通過する」と記されている。

Google HTTP Client Library for Java をベースに構築された、オープンソースの Java ライブラリは、OAuth 認証規格をサポートする Web 上のあらゆるサービスに対して、アクセストークンの取得を可能にする。

Google は、GitHub 上のプロジェクトの README ファイルにおいて、このライブラリはメンテナンス・モードでサポートされ、バグに関しては深刻度の高いものだけを修正していると記している。

google-oauth-java-client ライブラリのユーザーは、潜在的なリスクを軽減するために、4月13日にリリースされた Ver 1.33.3 へと更新することが推奨される。

Google の HTTP Client Library for Java におけるバグとのことですが、メンテナンス・モードでサポートされる (the library is supported in maintenance mode) という部分が、よく分かりません。GitHub の Google HTTP Client Library for Java も参照しましたが、とても簡潔な説明があるのみでした。きっと、開発者の方なら、すっと理解できる言い回しなのでしょう。このところの OAuth ですが、検索してみたら、2021年12月の「OAuth の欠陥とフィッシング:Microsoft/Google/PayPal もリダイレクトの対象だ」と、5月6日の「Heroku が語る先日の GitHub 攻撃:盗まれた OAuth トークンについて」などが見つかりました。よろしければ、OAuth で検索も、ご利用ください。

%d bloggers like this: