NVD脆弱性詳細

CVE-2019-17195

概要	Connect2id Nimbus JOSE+JWT before v7.9 can throw various uncaught exceptions while parsing a JWT, which could result in an application crash (potential information disclosure) or a potential authentication bypass.
公表日	2019年10月15日23:15
登録日	2021年1月26日10:40
最終更新日	2024年11月21日13:31

CVSS3.1 : CRITICAL
スコア	9.8
ベクター	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

CVSS2.0 : MEDIUM
スコア	6.8
ベクター	AV:N/AC:M/Au:N/C:P/I:P/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:connect2id:nimbus_jose\+jwt::::::::					7.9

構成2		以上	以下	より上	未満
cpe:2.3:a:apache:hadoop:3.2.1:-::::::

構成3	以上	以下	より上	未満
cpe:2.3:a:oracle:solaris_cluster:4.0:::::::*
cpe:2.3:a:oracle:weblogic_server:12.2.1.3.0:::::::*
cpe:2.3:a:oracle:weblogic_server:12.2.1.4.0:::::::*
cpe:2.3:a:oracle:peoplesoft_enterprise_peopletools:8.58:::::::*
cpe:2.3:a:oracle:enterprise_manager_base_platform:13.4.0.0:::::::*
cpe:2.3:a:oracle:primavera_gateway:19.12.0:::::::*
cpe:2.3:a:oracle:data_integrator:12.2.1.4.0:::::::*
cpe:2.3:a:oracle:peoplesoft_enterprise_peopletools:8.59:::::::*
cpe:2.3:a:oracle:primavera_gateway::::::::	18.8.0	18.8.11
cpe:2.3:a:oracle:communications_pricing_design_center:12.0.0.3.0:::::::*
cpe:2.3:a:oracle:jd_edwards_enterpriseone_tools::::::::		9.2.5.3
cpe:2.3:a:oracle:policy_automation::::::::	12.2.0	12.2.22
cpe:2.3:a:oracle:communications_cloud_native_core_security_edge_protection_proxy:1.7.0:::::::*
cpe:2.3:a:oracle:insurance_policy_administration::::::::	11.0	11.3.1
cpe:2.3:a:oracle:healthcare_data_repository:8.1.0:::::::*
cpe:2.3:a:oracle:jd_edwards_enterpriseone_orchestrator::::::::		9.2.5.3

関連情報、対策とツール

No	URL	タグ
1	https://bitbucket.org/connect2id/nimbus-jose-jwt/src/master/SECURITY-CHANGELOG.txt	Release Notes Third Party Advisory
2	https://bitbucket.org/connect2id/nimbus-jose-jwt/src/master/SECURITY-CHANGELOG.txt	Release Notes Third Party Advisory
3	https://connect2id.com/blog/nimbus-jose-jwt-7-9	Release Notes Vendor Advisory
4	https://connect2id.com/blog/nimbus-jose-jwt-7-9	Release Notes Vendor Advisory
5	https://lists.apache.org/thread.html/8768553cda5838f59ee3865cac546e824fa740e82d9dc2a7fc44e80d%40%3Ccommon-dev.hadoop.apache.org%3E
6	https://lists.apache.org/thread.html/8768553cda5838f59ee3865cac546e824fa740e82d9dc2a7fc44e80d%40%3Ccommon-dev.hadoop.apache.org%3E
7	https://lists.apache.org/thread.html/e10d43984f39327e443e875adcd4a5049193a7c010e81971908caf41%40%3Ccommon-issues.hadoop.apache.org%3E
8	https://lists.apache.org/thread.html/e10d43984f39327e443e875adcd4a5049193a7c010e81971908caf41%40%3Ccommon-issues.hadoop.apache.org%3E
9	https://lists.apache.org/thread.html/r2667286c8ceffaf893b16829b9612d8f7c4ee6b30362c6c1b583e3c2%40%3Ccommits.druid.apache.org%3E
10	https://lists.apache.org/thread.html/r2667286c8ceffaf893b16829b9612d8f7c4ee6b30362c6c1b583e3c2%40%3Ccommits.druid.apache.org%3E
11	https://lists.apache.org/thread.html/r33dc233634aedb04fa77db3eb79ea12d15ca4da89fa46a1c585ecb0b%40%3Ccommits.druid.apache.org%3E
12	https://lists.apache.org/thread.html/r33dc233634aedb04fa77db3eb79ea12d15ca4da89fa46a1c585ecb0b%40%3Ccommits.druid.apache.org%3E
13	https://lists.apache.org/thread.html/r35f6301a3e6a56259224786dd9c2a935ba27ff6b494d15a3b66efe6a%40%3Cdev.avro.apache.org%3E
14	https://lists.apache.org/thread.html/r35f6301a3e6a56259224786dd9c2a935ba27ff6b494d15a3b66efe6a%40%3Cdev.avro.apache.org%3E
15	https://lists.apache.org/thread.html/r5e08837e695efd36be73510ce58ec05785dbcea077819d8acc2d990d%40%3Ccommits.druid.apache.org%3E
16	https://lists.apache.org/thread.html/r5e08837e695efd36be73510ce58ec05785dbcea077819d8acc2d990d%40%3Ccommits.druid.apache.org%3E
17	https://lists.apache.org/thread.html/rcac26c2d4df22341fa6ebbfe93ba1eff77d2dcd3f6106a1dc1f9ac98%40%3Cdev.avro.apache.org%3E
18	https://lists.apache.org/thread.html/rcac26c2d4df22341fa6ebbfe93ba1eff77d2dcd3f6106a1dc1f9ac98%40%3Cdev.avro.apache.org%3E
19	https://www.oracle.com//security-alerts/cpujul2021.html	Patch Third Party Advisory
20	https://www.oracle.com//security-alerts/cpujul2021.html	Patch Third Party Advisory
21	https://www.oracle.com/security-alerts/cpuapr2020.html	Patch Third Party Advisory
22	https://www.oracle.com/security-alerts/cpuapr2020.html	Patch Third Party Advisory
23	https://www.oracle.com/security-alerts/cpuApr2021.html	Patch Third Party Advisory
24	https://www.oracle.com/security-alerts/cpuApr2021.html	Patch Third Party Advisory
25	https://www.oracle.com/security-alerts/cpuapr2022.html	Patch Third Party Advisory
26	https://www.oracle.com/security-alerts/cpuapr2022.html	Patch Third Party Advisory
27	https://www.oracle.com/security-alerts/cpujan2021.html	Patch Third Party Advisory
28	https://www.oracle.com/security-alerts/cpujan2021.html	Patch Third Party Advisory
29	https://www.oracle.com/security-alerts/cpujan2022.html	Not Applicable
30	https://www.oracle.com/security-alerts/cpujan2022.html	Not Applicable
31	https://www.oracle.com/security-alerts/cpuoct2021.html	Patch Third Party Advisory
32	https://www.oracle.com/security-alerts/cpuoct2021.html	Patch Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-755	例外的な状態における不適切な処理	https://cwe.mitre.org/data/definitions/755.html

JVN脆弱性情報

Connect2id Nimbus JOSE+JWT における例外的な状態のチェックに関する脆弱性

タイトル	Connect2id Nimbus JOSE+JWT における例外的な状態のチェックに関する脆弱性
概要	Connect2id Nimbus JOSE+JWT には、例外的な状態のチェックに関する脆弱性が存在します。
想定される影響	情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2019年10月5日0:00
登録日	2019年10月21日10:52
最終更新日	2019年10月21日10:52

影響を受けるシステム

Connect2id Ltd.

Nimbus JOSE+JWT 7.9 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2019-17195	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17195
National Vulnerability Database (NVD)
2	CVE-2019-17195	https://nvd.nist.gov/vuln/detail/CVE-2019-17195

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-754	https://cwe.mitre.org/data/definitions/754.html

ベンダー情報

No	名前	URL
Bitbucket
1	SECURITY-CHANGELOG	https://bitbucket.org/connect2id/nimbus-jose-jwt/src/master/SECURITY-CHANGELOG.txt
Connect2id
2	Nimbus JOSE+JWT 7.9 fixes an unchecked exception vulnerability	https://connect2id.com/blog/nimbus-jose-jwt-7-9

変更履歴

No	変更内容	変更日
1	[2019年10月21日] 掲載	2019年10月21日10:52

構成3	以上	以下	より上	未満
cpe:2.3:a:oracle:solaris_cluster:4.0:::::::*
cpe:2.3:a:oracle:weblogic_server:12.2.1.3.0:::::::*
cpe:2.3:a:oracle:weblogic_server:12.2.1.4.0:::::::*
cpe:2.3:a:oracle:peoplesoft_enterprise_peopletools:8.58:::::::*
cpe:2.3:a:oracle:enterprise_manager_base_platform:13.4.0.0:::::::*
cpe:2.3:a:oracle:primavera_gateway:19.12.0:::::::*
cpe:2.3:a:oracle:data_integrator:12.2.1.4.0:::::::*
cpe:2.3:a:oracle:peoplesoft_enterprise_peopletools:8.59:::::::*
cpe:2.3:a:oracle:primavera_gateway::::::::	18.8.0	18.8.11
cpe:2.3:a:oracle:communications_pricing_design_center:12.0.0.3.0:::::::*
cpe:2.3:a:oracle:jd_edwards_enterpriseone_tools::::::::		9.2.5.3
cpe:2.3:a:oracle:policy_automation::::::::	12.2.0	12.2.22
cpe:2.3:a:oracle:communications_cloud_native_core_security_edge_protection_proxy:1.7.0:::::::*
cpe:2.3:a:oracle:insurance_policy_administration::::::::	11.0	11.3.1
cpe:2.3:a:oracle:healthcare_data_repository:8.1.0:::::::*
cpe:2.3:a:oracle:jd_edwards_enterpriseone_orchestrator::::::::		9.2.5.3