jsonwebtoken onbeperkt sleuteltype kan leiden tot gebruik van verouderde sleutels

# Overzicht Versies `<=8.5.1` van de `jsonwebtoken`-bibliotheek kunnen verkeerd geconfigureerd zijn, waardoor verouderde, onveilige sleuteltypen worden gebruikt voor handtekeningverificatie. DSA-sleutels kunnen bijvoorbeeld worden gebruikt met het RS256-algoritme. # Ben ik getroffen? U bent getroffen als u een ander algoritme en sleuteltype gebruikt dan de hieronder genoemde combinaties. | Sleuteltype | algoritme | |----------|------------------------------------------| | ec | ES256, ES384, ES512 | | rsa | RS256, RS384, RS512, PS256, PS384, PS512 | | rsa-pss | PS256, PS384, PS512 | En voor Elliptic Curve-algoritmen: | `alg` | Curve | |-------|------------| | ES256 | prime256v1 | | ES384 | secp384r1 | | ES512 | secp521r1 | # Hoe los ik dit op? Update naar versie 9.0.0. Deze versie valideert op asymmetrisch sleuteltype en algoritmecombinaties. Raadpleeg de hierboven genoemde algoritme- / sleuteltypecombinaties voor de geldige veilige configuratie. Als u, na het updaten naar versie 9.0.0, nog steeds tokens wilt blijven ondertekenen of verifiëren met behulp van ongeldige sleuteltype- / algoritme-waardecombinaties, moet u `allowInvalid` instellen.