问题形容
jwt-auth
插件存在泄露用户秘钥的平安问题,因为从依赖库 lua-resty-jwt
返回的错误信息中蕴含敏感信息。
影响版本
Apache APISIX 2.13.0 及其之前全副版本
解决方案
- 请立刻降级至 Apache APISIX 2.13.1 及以上版本。
- 如果不不便更新版本,请在 Apache APISIX 上装置对应版本的补丁包,实现重构,以绕过该破绽(补丁包装置且失效后,调用方接管到的错误信息将为修复后的错误信息,不再蕴含敏感信息)。
以下补丁包实用于 LTS 2.13.x 或主版本:
- https://github.com/apache/api…
- https://github.com/apache/api…
- https://github.com/apache/api…
以下补丁包实用于最新的 LTS 2.10.x 版本:
- https://github.com/apache/api…
- https://github.com/apache/api…
破绽详情
破绽优先级:紧急
破绽公开工夫:2022 年 4 月 20 日
CVE 详细信息:https://nvd.nist.gov/vuln/det…
贡献者简介
该破绽由金蝶软件 (中国) 有限公司的唐忠远、谢鸿峰和陈兵发现并报告,感激各位对 Apache APISIX 社区的奉献。