网络安全

热点新闻

网络安全
当前位置: 首页 >> 网络安全 >> 正文
关于Google-OAuth-Java-Client身份验证绕过漏洞(CVE-2021-22573)的预警提示
  陆晔   发布日期:2022-06-06

一、漏洞详情

Google OAuth Client Library for Java是Google开发的一个强大且易于使用的开源Java库,用于OAuth1.0a和OAuth2.0授权标准。该Java库旨在与网络上的任何OAuth服务一起使用,它是建立在Google OAuth Client Library for Java之上的。

Google修复了Google-OAuth-Java-Client中的一个身份验证绕过漏洞(CVE-2021-22573),由于IDToken验证程序无法验证令牌是否正确签名,Google-OAuth-Java-Client中存在身份验证绕过漏洞,可以通过提供具有自定义Payload的受损令牌通过客户端的验证。此外,该Java库基于Google OAuth Client Library for Java构建,可以获取对Web上支持OAuth授权标准的任何服务的访问令牌。

建议受影响用户做好预防工作,以免遭受黑客攻击。

二、影响范围

Google-OAuth-Java-Client版本 < v1.33.3

三、修复建议

受影响的用户可以升级更新到Google-OAuth-Java-Client版本v1.33.3。

下载链接:https://github.com/googleapis/google-oauth-java-client/releases

技术支持:信息化建设管理处

校内备案号:JW备170019

地址:江苏省无锡市蠡湖大道1800号

邮编:214122

联系电话:0510-85326800(26800),85912032(82032)(网络报修)

服务邮箱:netser@jiangnan.edu.cn