漏洞标题
Python oic中的加密问题
漏洞描述信息
Python oic是一个Python OpenID Connect的实现。在Python oic的1.2.1版本之前,有一些与加密相关的问题影响使用该库的客户端实现。这些问题包括:1)IdToken的签名算法默认没有自动检查,只有在预期的算法作为关键字参数传递时才会检查。2)JWA的`none`算法在所有流程中都被允许。3)oic.consumer.Consumer.parse_authz返回了一个未经验证的IdToken,该令牌的验证被留给实现者自行决定。4)iat( Issued At)声明没有进行合理性检查(即,它可能处于未来)。这些问题在1.2.1版本中已修复。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
Cryptographic issues in Python oic
漏洞描述信息
Python oic is a Python OpenID Connect implementation. In Python oic before version 1.2.1, there are several related cryptographic issues affecting client implementations that use the library. The issues are: 1) The IdToken signature algorithm was not checked automatically, but only if the expected algorithm was passed in as a kwarg. 2) JWA `none` algorithm was allowed in all flows. 3) oic.consumer.Consumer.parse_authz returns an unverified IdToken. The verification of the token was left to the discretion of the implementator. 4) iat claim was not checked for sanity (i.e. it could be in the future). These issues are patched in version 1.2.1.
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
漏洞类别
缺少必要的密码学步骤
漏洞标题
Python oic 安全漏洞
漏洞描述信息
Python是Python基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。 Python oic 1.2.1之前版本存在安全漏洞,该漏洞源于有几个相关的加密问题会影响使用该库的客户端实现。问题是:1)没有自动检查IdToken签名算法,只有当期望的算法作为kwarg传入时才会检查。2)所有流都允许JWA none 算法。3)oic.consumer.Consumer.parse_authz一个未验证的IdToken。令牌的验证由实现者自行决定。4) iat声
CVSS信息
N/A
漏洞类别
其他