JsonWebToken-Sicherheitslücke: Keine Gefahr für NoSpamProxy-Kunden

Aktuell existiert eine Sicherheitslücke in einer weitverbreiteten JsonWebToken-Bibliothek. Unter bestimmten Bedingungen können Angreifer per Fernzugriff Schadcode verteilen und ausführen. Für NoSpamProxy-Kunden besteht keine Gefahr.

Die betroffene JsonWebToken-Bibliothek wird verwendet, um JSON Web Tokens zu erstellen, zu signieren und zu verifizieren. Sie arbeitet auf JavaScript-Basis wird in rund 22.000 Software-Projekten eingesetzt. 36 Millionen Downloads aus dem npm-Repository machen die Bibliothek jetzt besonders gefährlich, da Angreifer so über eine sogenannte Supply-Chain-Attacke zahllose Anwendungen, die die Bibliothek einsetzen, attackieren können. Im vorliegenden Fall sind Open-Source-Projekte von unter anderem IBM und Microsoft verwundbar.

Weitere Informationen finden Sie auf der Githubseite der Entwickler von Okta Auth0 sowie bei Palo Alto Networks Unit 42.