写点什么

APISIX jwt-auth 插件存在错误响应中泄露信息的风险公告(CVE-2022-29266)

  • 2022 年 4 月 22 日
  • 本文字数:445 字

    阅读完需:约 1 分钟

问题描述


插件存在泄露用户秘钥的安全问题,原因是来自于依赖库 lua-resty-jwt 中返回的错误信息包含敏感信息。

影响版本

Apache APISIX 2.13.0 及其之前全部版本

解决方案

  1. 请立即升级至 Apache APISIX 2.13.1 及以上版本。

  2. 如果不方便更新版本,请在 Apache APISIX 上安装对应版本的补丁包,实现重构,以绕过该漏洞(补丁包安装且生效后,调用方接收到的错误信息将为修复后的错误信息,不再包含敏感信息)。

以下补丁包适用于 LTS 2.13.x 或主版本:

以下补丁包适用于最新的 LTS 2.10.x 版本:

漏洞详情

漏洞优先级:紧急

漏洞公开时间:2022 年 4 月 20 日

CVE 详细信息:https://nvd.nist.gov/vuln/detail/CVE-2022-29266

贡献者简介

该漏洞由金蝶软件(中国)有限公司的唐忠远、谢鸿峰和陈兵发现并报告,感谢各位对 Apache APISIX 社区的贡献。


用户头像

Github:https://github.com/apache/apisix 2021.06.02 加入

Apache APISIX 是一个云原生、高性能、可扩展的微服务 API 网关。它是基于 OpenResty 和 etcd 来实现,和传统 API 网关相比,Apache APISIX 具备动态路由和插件热加载,特别适合微服务体系下的 API 管理。

评论

发布
暂无评论
APISIX jwt-auth 插件存在错误响应中泄露信息的风险公告(CVE-2022-29266)_api 网关_Apache APISIX 中国社区_InfoQ写作社区