谷歌 OAuth客户端库（Java版）中存在高危漏洞

 上个月，谷歌解决了OAuth 客户端库（Java版）中的一个高危漏洞（CVE-2021-22573），本可导致恶意人员使用受陷令牌部署任意payload。

该漏洞的CVSS评分为8.7，和因加密签名验证不当在库中引发验证绕过的问题有关。该漏洞是由弗吉尼亚大学博士在读四年级学生 Tamjid AI Rahat 发现并报告的，他为此获得5000美元的漏洞奖励。

安全公告指出，“造成该漏洞的原因是 IDToken 验证符并未验证令牌是否被正确签名。签名验证确保令牌的payload 源自合法提供商。攻击者可提供带有自定义payload 的受陷令牌。该令牌将通过对客户端的验证。”

该Java开源库构建于 Google HTTP Client Library for Java 基础之上，很可能获得支持 OAuth 授权标准的 web 上任意服务的访问令牌。谷歌在GitHub 上的项目 README 文件中提到，该库以维修模式支持，仅修复必要bug。

建议Google-oauth-jave-client 库用户更新至4月13日发布的1.33.3版本，以免遭受任何潜在风险影响。

https://thehackernews.com/2022/05/high-severity-bug-reported-in-googles.html

题图：Pixabay License

“转自奇安信代码卫士 https://codesafe.qianxin.com”。