ГлавнаяБаза уязвимостей БДУ → BDU:2024-01787
7.8высокая

BDU:2024-01787 (CVE-2023-51775)

Уязвимость JWT-библиотеки Jose4j, связанная с неправильной реализацией алгоритма PBES2 при обработке параметра p2c, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-03-06
Описание

Уязвимость JWT-библиотеки Jose4j связана с неправильной реализацией алгоритма PBES2 при обработке параметра p2c. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
РЕД ОС (7.3)Jose4j (до 0.9.4)Libercat Certified EE (до 9.1.3-4)Libercat Certified EE (до 8.0.16-9)
Способ устранения

Использование рекомендаций:
https://bitbucket.org/b_c/jose4j/issues/212
https://bitbucket.org/b_c/jose4j/downloads/
https://bitbucket.org/b_c/jose4j/commits/1afaa1e174b3

Компенсирующие меры:
Установите верхний предел для параметра p2c.

Для Libercat Certified:
Обновление ПО до актуальной версии

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://bitbucket.org/b_c/jose4j/issues/212https://i.blackhat.com/BH-US-23/Presentations/US-23-Tervoort-Three-New-Attacks-Against-JSON-Web-Tokens.pdfhttps://access.redhat.com/security/cve/cve-2023-51775https://bugzilla.redhat.com/show_bug.cgi?id=2266921http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена