Python oic — это реализация Python OpenID Connect. В Python oic до версии 1.2.1 существует несколько связанных криптографических проблем, з…
Python oic — это реализация Python OpenID Connect. В Python oic до версии 1.2.1 существует несколько связанных криптографических проблем, затрагивающих клиентские реализации, использующие библиотеку. Проблемы: 1) Алгоритм подписи IdToken не проверялся автоматически, а только в том случае, если ожидаемый алгоритм был передан в качестве kwarg. 2) Алгоритм JWA `none` был разрешен во всех потоках. 3) oic.consumer.Consumer.parse_authz возвращает непроверенный IdToken. Проверка токена была оставлена на усмотрение разработчика. 4) Утверждение iat не проверялось на достоверность (т. е. оно могло быть в будущем). Эти проблемы исправлены в версии 1.2.1.
Продукт не реализует обязательный шаг криптографического алгоритма, в результате чего шифрование оказывается слабее, чем заявлено алгоритмом.
https://cwe.mitre.org/data/definitions/325.html →Открыть в коллекции CWE →Во многих языках программирования используются механизмы подписания кода для удостоверения идентичности кода и тем самым привязки кода к назначенным ему привилегиям в среде. Подрыв этого механизма может быть инструментом повышения привилегий злоумышленником. Любой способ обхода механизма контроля подписания кода виртуальной машиной квалифицируется как данный стиль атаки.
https://capec.mitre.org/data/definitions/68.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| python_openid_connect | * | Отслеживается |