近日,Auth0被曝出存在严重的身份验证绕过漏洞。该漏洞(CVE-2018-6873)源于Auth0的Legacy Lock API没有对JSON Web Tokens(JWT)的参数做合理的验证,随后可以触发一个CSRF/SXRF漏洞(CVE-2018-6874)。攻击者仅需要知道用户的user ID或者email地址,就可以登录该用户任何使用Auth0验证的应用。
Auth0拥有2000多家企业用户并且每天管理超过15亿次的登录验证,是最大的身份平台之一。目前Auth0已经发布更新修复了该漏洞。
相关链接:
https://securityaffairs.co/wordpress/71175/hacking/auth0-authentication-bypass.html
https://medium.com/@cintainfinita/knocking-down-the-big-door-8e2177f76ea5
CVE-2018-6873 CVE-2018-6874 受影响的版本
- js 9 & Lock 11 以下版本
CVE-2018-6873 CVE-2018-6874 不受影响的版本
- js 9 & Lock 11
CVE-2018-6873 CVE-2018-6874 解决方案
Auth0官方已经发布通告说明了上述漏洞并且已发布新版本,请受影响的用户尽快按照官方的指导更新升级,进行防护。
不方便升级的用户可以采取以下措施暂时进行防护:
- 对于CVE-2018-6874,用户可以将服务管理面板中的Legacy Lock API flag设置为off,这样会使得跨域验证(cross-domain authentication)失效,但/login上的全局登录(Universal Login page)仍然有效。
- 官方推荐使用多因素身份验证功能(Multifactor authentication),使用该功能的用户并不会受上述漏洞的影响。
参考链接:
https://auth0.com/blog/managing-and-mitigating-security-vulnerabilities-at-auth0/
声 明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。、
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。