ORY Oathkeeper — это прокси-сервер идентификации и доступа (IAP) и API принятия решений по контролю доступа, который авторизует HTTP-запросы на основе наборов правил доступа. Версии до 26.2.0 уязвимы для обхода аутентификации из-за путаницы ключей кэша. Кэш аутентификатора `oauth2_introspection` не различает токены, которые были проверены с помощью разных URL-адресов интроспекции.
Таким образом, злоумышленник может законно использовать токен для заполнения кеша, а затем использовать тот же токен для правил, которые используют другой сервер самоанализа. Ory Oathkeeper должен быть настроен с несколькими серверами аутентификации oauth2_introspection, каждый из которых принимает разные токены. Аутентификаторы также должны быть настроены на использование кэширования.
У злоумышленника должен быть способ получить действительный токен для одного из настроенных серверов самоанализа. Начиная с версии 26.2.0, Ory Oathkeeper включает URL-адрес сервера самоанализа в ключ кэша, предотвращая путаницу токенов. Обновление до исправленной версии Ory Oathkeeper.
Если это невозможно сразу, отключите кэширование для аутентификаторов oauth2_introspection.
Показать оригинальное описание (EN)
ORY Oathkeeper is an Identity & Access Proxy (IAP) and Access Control Decision API that authorizes HTTP requests based on sets of Access Rules. Versions prior to 26.2.0 are vulnerable to authentication bypass due to cache key confusion. The `oauth2_introspection` authenticator cache does not distinguish tokens that were validated with different introspection URLs. An attacker can therefore legitimately use a token to prime the cache, and subsequently use the same token for rules that use a different introspection server. Ory Oathkeeper has to be configured with multiple `oauth2_introspection` authenticator servers, each accepting different tokens. The authenticators also must be configured to use caching. An attacker has to have a way to gain a valid token for one of the configured introspection servers. Starting in version 26.2.0, Ory Oathkeeper includes the introspection server URL in the cache key, preventing confusion of tokens. Update to the patched version of Ory Oathkeeper. If that is not immediately possible, disable caching for `oauth2_introspection` authenticators.
Характеристики атаки
Последствия
Строка CVSS v3.1