如何绕过dgrijalva/jwt-go中的cve-2020-26160漏洞？

Question

容器安全状态不会在Gitlab管道中传递，因为存在一个高级别漏洞。此漏洞为jwt，已安装的版本为v3.2.0+incompatible。错误标题如下：jwt-go: access restriction bypass vulnerability-->avd.aquasec.com/nvd/cve-2020-26160。相关回购的Go版本是1.16.3。如何修复此漏洞？

Answer 1

CVE-2020-26160漏洞是由于dgrijalva/jwt-go错误地将JWT aud字段建模为string这一事实造成的，当基于JWT规范时，它应该是字符串的一部分。

在一般情况下，"aud“值是一个区分大小写的字符串数组。

您不能自己绕过它，因为它是库中的一个bug：https://github.com/dgrijalva/jwt-go/issues/428

切换到官场社区叉golang-jwt/jwt，它的v3.2.1修复了漏洞：https://github.com/golang-jwt/jwt/releases/tag/v3.2.1

• 导入路径更改:有关更新代码的技巧，请参见MIGRATION_GUIDE.md，将导入路径从github.com/dgrijalva/jwt更改为github.com/golang/jwt
• 修正了VerifyAudience (#12)中字符串和[]字符串之间的类型混淆问题。修复CVE-2020-26160

Answer 2

Github.com/dgrijalva/ jwt - 25天前解决了这个vurnability问题，您使用的版本(v3.2.0)从2018年开始，更新使用该库的最新版本将解决所有jwt安全问题