Vulnerabilidad en el encabezado "Authorization" en Wire-server (CVE-2021-41100)

Wire-server es el servidor de respaldo de la aplicación de mensajería segura de código abierto Wire. En las versiones afectadas es posible activar el cambio de dirección de correo electrónico de un usuario con sólo el token de sesión de corta duración en el encabezado "Authorization". Como el token de corta duración sólo sirve como medio de autenticación por parte del cliente para peticiones menos críticas al backend, la posibilidad de cambiar la dirección de correo electrónico con un token de corta duración constituye un ataque de escalada de privilegios. Dado que el atacante puede cambiar la contraseña después de establecer la dirección de correo electrónico a uno que ellos controlan, el cambio de la dirección de correo electrónico puede resultar en una toma de control de la cuenta por el atacante. Los tokens de corta duración pueden ser solicitados desde el backend por los clientes de Wire que usan los tokens de larga duración, tras lo cual los tokens de larga duración pueden ser almacenados de forma segura, por ejemplo en el llavero de los dispositivos. Los tokens de vida corta pueden usarse entonces para autenticar al cliente ante el backend para las acciones que se realizan con frecuencia, como el envío y la recepción de mensajes. Mientras que los tokens de corta duración no deberían estar disponibles para un atacante per se, son usados con más frecuencia y en forma de encabezado HTTP, lo que aumenta el riesgo de exposición a un atacante en relación con los tokens de larga duración, que son almacenados y transmiten en cookies. Si está ejecutando una instancia on-prem y aprovisiona a todos los usuarios con SCIM, no está afectado por este problema (el cambio de correo electrónico está bloqueado para usuarios de SCIM). El inicio de sesión único de SAML no está afectado por este problema y se comporta de forma idéntica antes y después de esta actualización. La razón es que la dirección de correo electrónico usada como SAML NameID es almacenada en una ubicación diferente en la base de datos de la que es utilizada para contactar con el usuario fuera de Wire. Las versiones 2021-08-16 y posteriores proporcionan un nuevo endpoint que requiere tanto la cookie de cliente de larga duración como el encabezado "Authorization". El antiguo endpoint ha sido eliminado. Si está ejecutando una instancia on-prem con al menos algunos de los usuarios invitados o aprovisionados por medio de SAML SSO y no puede actualizar, entonces puede bloquear "/self/email" en nginz (o en cualquier otro proxy o firewall que haya configurado). No es necesario discriminar por verbo: "/self/email" sólo acepta "PUT" y "DELETE", y "DELETE" casi nunca es usado