idNSA.id - Google mengatasi kelemahan autentikasi tingkat
tinggi di Perpustakaan Klien OAuth Google untuk Java, dilacak sebagai
CVE-2021-22573 (Skor CVS 8.7), yang dapat dieksploitasi oleh penyerang dengan
token yang disusupi untuk menyebarkan malicious.
Library Client OAuth Google untuk Java dirancang untuk
bekerja dengan layanan OAuth apa pun di web, tidak hanya dengan Google API. Library
dibuat di Library Client HTTP Google
untuk Java, dan mendukung Java 7 (atau lebih tinggi) standar (SE) dan enterprise
(EE), Android 4.0 (atau lebih tinggi), dan Google App Engine.
Akar penyebab masalah adalah bahwa pemverifikasi IDToken
tidak memverifikasi apakah token ditandatangani dengan benar. Ini berarti
penyerang dapat menyajikan muatan berbahaya yang tidak berasal dari penyedia
tepercaya.
“Kerentanannya adalah bahwa pemverifikasi IDToken tidak
memverifikasi apakah token ditandatangani dengan benar. Verifikasi tanda tangan
memastikan bahwa muatan token berasal dari penyedia yang valid, bukan dari
orang lain. Penyerang dapat memberikan token yang dikompromikan dengan muatan
khusus.” membaca deskripsi yang diterbitkan oleh NIST. “Token akan melewati
validasi di sisi klien. Kami merekomendasikan untuk meningkatkan ke versi
1.33.3 atau lebih tinggi”
Kerentanan ini dilaporkan oleh peneliti keamanan Tamjid Al
Rahat pada 12 Maret, masalah ini diberi imbalan $5.000 sebagai bagian dari
program hadiah bug dari perusahaan. Google mengatasi masalah ini dengan merilis
versi 1.33.3 pada bulan April.
Pengguna Library client OAuth Google untuk Java disarankan
untuk meningkatkan versi ke versi 1.33.3 atau yang lebih baru.
