当前位置:网站首页>APISIX jwt-auth 插件存在错误响应中泄露信息的风险公告(CVE-2022-29266)
APISIX jwt-auth 插件存在错误响应中泄露信息的风险公告(CVE-2022-29266)
2022-04-23 15:34:00 【ApacheAPISIX】
问题描述
jwt-auth
插件存在泄露用户秘钥的安全问题,因为从依赖库 lua-resty-jwt
返回的错误信息中包含敏感信息。
影响版本
Apache APISIX 2.13.0 及其之前全部版本
解决方案
-
请立即升级至 Apache APISIX 2.13.1 及以上版本。
-
如果不方便更新版本,请在 Apache APISIX 上安装对应版本的补丁包,实现重构,以绕过该漏洞(补丁包安装且生效后,调用方接收到的错误信息将为修复后的错误信息,不再包含敏感信息)。
以下补丁包适用于 LTS 2.13.x 或主版本:
- https://github.com/apache/apisix/pull/6846
- https://github.com/apache/apisix/pull/6847
- https://github.com/apache/apisix/pull/6858
以下补丁包适用于最新的 LTS 2.10.x 版本:
- https://github.com/apache/apisix/pull/6847
- https://github.com/apache/apisix/pull/6855
漏洞详情
漏洞优先级:紧急
漏洞公开时间:2022 年 4 月 20 日
CVE 详细信息:https://nvd.nist.gov/vuln/detail/CVE-2022-29266
贡献者简介
该漏洞由金蝶软件(中国)有限公司的唐忠远、谢鸿峰和陈兵发现并报告,感谢各位对 Apache APISIX 社区的贡献。
版权声明
本文为[ApacheAPISIX]所创,转载请带上原文链接,感谢
https://blog.csdn.net/ApacheAPISIX/article/details/124340856
边栏推荐
猜你喜欢
服务器中毒了怎么办?服务器怎么防止病毒入侵?
T2 iCloud日历无法同步
What exactly does the distributed core principle analysis that fascinates Alibaba P8? I was surprised after reading it
Today's sleep quality record 76 points
电脑怎么重装系统后显示器没有信号了
Multitimer V2 reconstruction version | an infinitely scalable software timer
网站压测工具Apache-ab,webbench,Apache-Jemeter
重定向和请求转发详解
Advantages, disadvantages and selection of activation function
API gateway / API gateway (III) - use of Kong - current limiting rate limiting (redis)
随机推荐
函数(第一部分)
Mumu, go all the way
Wechat applet customer service access to send and receive messages
Comparaison du menu de l'illustrateur Adobe en chinois et en anglais
网站建设与管理的基本概念
What if the server is poisoned? How does the server prevent virus intrusion?
如果conda找不到想要安装的库怎么办PackagesNotFoundError: The following packages are not available from current
基础贪心总结
控制结构(二)
Connect PHP to MySQL via PDO ODBC
GFS distributed file system (Theory)
Node.js ODBC连接PostgreSQL
携号转网最大赢家是中国电信,为何人们嫌弃中国移动和中国联通?
Multitimer V2 reconstruction version | an infinitely scalable software timer
G007-HWY-CC-ESTOR-03 华为 Dorado V6 存储仿真器搭建
机器学习——逻辑回归
Detailed explanation of kubernetes (IX) -- actual combat of creating pod with resource allocation list
Explanation of redis database (IV) master-slave replication, sentinel and cluster
[backtrader source code analysis 18] Yahoo Py code comments and analysis (boring, interested in the code, you can refer to)
Go并发和通道