Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

JWT用PHPライブラリの署名検証機能に脆弱性

JSON Web Tokenを扱うPHPライブラリ「namshi/jose」にトークンの署名を正しく検証しない脆弱性が含まれていることがわかった。

脆弱性情報のポータルサイトであるJVNによれば、同ライブラリのJWTにおけるヘッダ処理に脆弱性「CVE-2015-2964」が存在。トークンデータが改ざんされた場合も正しい署名が行われているとして処理されてしまうおそれがあるという。

脆弱性が存在するのは、「同5.0.0」「同4.0.0」「同3.0.0」「同2.2.1」で以前のバージョンも含まれる。

同脆弱性は、DeNAの杉山俊春氏が情報処理推進機構(IPA)へ報告しJPCERTコーディネーションセンターが調整を実施。脆弱性を修正した新版が公開されており、アップデートを呼びかけている。

(Security NEXT - 2015/06/26 ) このエントリーをはてなブックマークに追加

PR

関連記事

Zohoのアクセス関連製品に複数のSQLi脆弱性
ID管理製品「Atlassian Crowd」に深刻な脆弱性
オープンソースの検索エンジン「OpenSearch」に脆弱性
「Chrome」にセキュリティアップデート - ゼロデイ脆弱性を修正
シングルページアプリの脆弱性診断サービスを開始 - Flatt Security
「Atlassian Bitbucket」に深刻な脆弱性 - アップデートの実施を
「Zimbra」に複数の脆弱性 - 修正版をリリース
「LibTIFF」に脆弱性、悪用コードが公開済み - パッチの適用を
「Apache MINA SSHD」に脆弱性 - アップデートがリリース
「Movable Type」に複数の脆弱性 - アップデートで修正