锐客网

  1. 首页 > 睿知 > it技术 > >

APISIX jwt-auth 插件存在错误响应中泄露信息的风险公告(CVE-2022-29266)

问题描述 jwt-auth 插件存在泄露用户秘钥的安全问题,因为从依赖库 lua-resty-jwt 返回的错误信息中包含敏感信息。
影响版本 Apache APISIX 2.13.0 及其之前全部版本
解决方案

  1. 请立即升级至 Apache APISIX 2.13.1 及以上版本。
  2. 如果不方便更新版本,请在 Apache APISIX 上安装对应版本的补丁包,实现重构,以绕过该漏洞(补丁包安装且生效后,调用方接收到的错误信息将为修复后的错误信息,不再包含敏感信息)。
以下补丁包适用于 LTS 2.13.x 或主版本:
  • https://github.com/apache/api...
  • https://github.com/apache/api...
  • https://github.com/apache/api...
以下补丁包适用于最新的 LTS 2.10.x 版本:
  • https://github.com/apache/api...
  • https://github.com/apache/api...
漏洞详情 【APISIX jwt-auth 插件存在错误响应中泄露信息的风险公告(CVE-2022-29266)】漏洞优先级:紧急
漏洞公开时间:2022 年 4 月 20 日
CVE 详细信息:https://nvd.nist.gov/vuln/det...
贡献者简介 该漏洞由金蝶软件(中国)有限公司的唐忠远、谢鸿峰和陈兵发现并报告,感谢各位对 Apache APISIX 社区的贡献。

    推荐阅读


    上一篇:【强推】五个相见恨晚的Python小技巧总结

    下一篇:基于 TiDB 的 Apache APISIX 高可用配置中心的最佳实践