Vulnerabilità: CVE-2020-26244

Python OIC è un’implementazione di Python OpenID Connect. In Python OIC prima della versione 1.2.1, ci sono diverse questioni connesse crittografiche che interessano implementazioni client che utilizzano la libreria. I problemi sono: 1) L’algoritmo di firma IDToken non è stata selezionata automaticamente, ma solo se l’algoritmo previsto è stata approvata in un kwarg. 2) JWA `algoritmo none` è stato consentito in tutti i flussi. 3) oic.consumer.Consumer.parse_authz restituisce un IDToken non verificata. La verifica del token è stata lasciata alla discrezione del implementator. 4) iat rivendicazione non è stato controllato per sane (cioè esso potrebbe essere in futuro). Questi problemi sono patchati nella versione 1.2.1.


https://github.com/OpenIDC/pyoidc/security/advisories/GHSA-4fjv-pmhg-3rfg
https://github.com/OpenIDC/pyoidc/security/advisories/GHSA-4fjv-pmhg-3rfg
https://github.com/OpenIDC/pyoidc/commit/62f8d753fa17c8b1f29f8be639cf0b33afb02498
https://github.com/OpenIDC/pyoidc/commit/62f8d753fa17c8b1f29f8be639cf0b33afb02498
https://github.com/OpenIDC/pyoidc/releases/tag/1.2.1
https://github.com/OpenIDC/pyoidc/releases/tag/1.2.1
https://pypi.org/project/oic/
https://pypi.org/project/oic/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26244


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi