Ciekawa podatność w implementacji JWT w InfluxDB

Ciekawa podatność w implementacji JWT w InfluxDB

2021-01-09 18:22 Redakcja

Ostatnio w świecie bezpieczeństwa pojawiła się interesująca podatność związana z implementacją JWT (JSON Web Token) w InfluxDB. Zauważono, że podając pusty sekret, można uzyskać dostęp do konta dowolnego użytkownika. To odkrycie wzbudziło zainteresowanie wśród łowców bugów, którzy poszukują nietypowych luk w systemach.

W przeszłości mieliśmy już do czynienia z różnymi wariantami algorytmów podpisów w JWT, takimi jak none lub NonE. Czasami dochodziło nawet do całkowitego usunięcia sekcji podpisu. Teraz jednak sytuacja jest jeszcze bardziej zaskakująca: można autoryzować się jako dowolny użytkownik, wykorzystując token JWT z pustym shared_secret.

Warto zaznaczyć, że ten błąd został załatany w InfluxDB już w 2019 roku, jednak niektóre systemy, takie jak Debian, wprowadziły aktualizację dopiero w 2021 roku. W dokumentacji można znaleźć adnotację: It was discovered that incorrect validation of JWT tokens in InfluxDB could result in authentication bypass.

Najnowsze wiadomosci ⚡📰

Nie przegap żadnego trendu, hacka ani dramy w świecie marketingu! 🧠
Mamy już ponad 155 000 artykułów i codziennie dorzucamy 50–100 nowych perełek z SEO, PR, social mediów, reklam, AI i brandingu. Do tego wywiady, nowe narzędzia pozwalające dowieźć wyniki i nutka prawa oraz bezpieczeństwa. Wszystko podane w starupowym sosie, który nigdy sie nie nudzi.
Zapisz się teraz, a Twoja skrzynka stanie się potężniejsza niż raporty z Analyticsa.