jupyterhub-ltiauthenticator LTI13Authenticator JWT İmza Doğrulama Güvenlik Açığı

 

jupyterhub-ltiauthenticator LTI13Authenticator JWT İmza Doğrulama Güvenlik Açığı

Genel bakış 

CVE-2023-25574,  jupyterhub-ltiauthenticatorÖğrenme Araçları İş Birliği (LTI) için tasarlanmış bir JupyterHub kimlik doğrulayıcısı olan 'ı etkileyen kritik bir güvenlik açığıdır. Güvenlik açığı özellikle  LTI13Authenticator 1.3.0 sürümünde tanıtılan sınıfı etkiler. Bu sınıf, JSON Web Token (JWT) imzalarını doğrulamada başarısız olur ve bu kimlik doğrulayıcıyı kullanmak üzere yapılandırılmış JupyterHub örneklerine yetkisiz erişime izin verebilir. Sorun, 1.4.0 sürümünde sınıfın  LTI13Authenticator tamamen kaldırılmasıyla giderildi.  

Güvenlik Açığı Ayrıntıları 

• CVE Kimliği : CVE-2023-25574 

• Temel Puan : 10.0 (KRİTİK) 

• Yayın Tarihi : 25 Şubat 2025

• Etkilenen Sürümler :  jupyterhub-ltiauthenticator 1.3.0

• Düzeltilen Sürümler :  jupyterhub-ltiauthenticator 1.4.0

Darbe 

Bu güvenlik açığı, bir saldırganın geçerli bir imza olmadan bir JWT belirtecini taklit ederek kimlik doğrulamasını atlatmasına olanak tanır. Bu, JupyterHub örneklerine yetkisiz erişime yol açabilir ve hassas verileri ve kaynakları tehlikeye atabilir. Yalnızca sınıfı kullanmak üzere yapılandırılmış JupyterHub örnekleri  LTI13Authenticator etkilenir. 

Teknik Arka Plan

LTI (Öğrenme Araçları İş Birliği), eğitim araçlarını öğrenme yönetim sistemleriyle (LMS) bütünleştirmek için bir standarttır.  jupyterhub-ltiauthenticator JupyterHub'ın LTI aracılığıyla kullanıcıları doğrulamasını sağlar.  LTI13Authenticator 1.3.0 sürümünde tanıtılan sınıf, güvenli iletişim için JWT'ye dayanan LTI 1.3 kimlik doğrulama akışlarını işlemek üzere tasarlanmıştır.

Ancak,  LTI13Authenticator 1.3.0 sürümündeki sınıf JWT imzalarını doğrulamadı. JWT'ler genellikle özel bir anahtar kullanılarak imzalanır ve alıcı, belirtecin gerçekliğini sağlamak için imzayı karşılık gelen genel anahtarı kullanarak doğrular. Bu doğrulama olmadan, bir saldırgan bir JWT'yi taklit edebilir ve meşru bir kullanıcıyı taklit edebilir. 

Örnek Senaryo 

1. Kurulum : Bir üniversite, LMS aracılığıyla öğrencileri doğrulamak için JupyterHub'ı yapılandırır  LTI13Authenticator . LMS, kullanıcı doğrulaması için JWT'leri JupyterHub'a göndermek için LTI 1.3'ü kullanır.

2. Saldırı : Bir saldırgan JupyterHub örneğinin 1.3.0 sürümünü kullandığını keşfeder  jupyterhub-ltiauthenticator . Rastgele kullanıcı bilgileriyle sahte bir JWT belirteci oluşturur ve bunu JupyterHub örneğine gönderir.

3. İstismar :  LTI13Authenticator JWT imzasını doğrulamadığından, JupyterHub sahte belirteci kabul eder ve saldırgana belirteçte belirtilen kullanıcı adıyla sisteme erişim izni verir.

4. Sonuçlar : Saldırgan, JupyterHub ortamına yetkisiz erişim elde ederek hassas öğrenci verilerine erişebilir, kötü amaçlı kod çalıştırabilir veya hizmeti kesintiye uğratabilir.

Azaltma

jupyterhub-ltiauthenticator Güvenlik açığı, sınıfın kaldırılmasıyla  1.4.0 sürümünde düzeltildi  LTI13Authenticator . Kullanıcılara 1.4.0 veya sonraki bir sürüme yükseltme yapmaları şiddetle tavsiye edilir. Yükseltme hemen mümkün değilse, kullanıcılar devre dışı bırakmayı  LTI13Authenticator ve alternatif bir kimlik doğrulama yöntemi kullanmayı düşünmelidir.

Yükseltme Adımları

1. Güncel sürümünü kontrol edin  jupyterhub-ltiauthenticator:

   vuruş

   Kopyala

   pip jupyterhub-ltiauthenticator'ı göster

2. Sürüm 1.3.0 veya daha eskiyse, 1.4.0 veya sonraki sürüme yükseltin:

   vuruş

   Kopyala

   pip install  --upgrade jupyterhub-ltiauthenticator

3. Değişiklikleri uygulamak için JupyterHub servisini yeniden başlatın.

Çözüm 

CVE-2023-25574, kimlik doğrulama mekanizmalarında uygun JWT imza doğrulamasının önemini vurgulayan kritik bir güvenlik açığıdır. Kullanıcılar,  jupyterhub-ltiauthenticator JupyterHub örneklerini olası istismardan korumak için en son sürüme yükseltmek için derhal harekete geçmelidir.