Debians sikkerhedsbulletin
DSA-3293-1 pyjwt -- sikkerhedsopdatering
- Rapporteret den:
- 20. jun 2015
- Berørte pakker:
- pyjwt
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 781640.
- Yderligere oplysninger:
-
Tim McLean opdagede at pyjwt, en implementering i Python af JSON Web Token, forsøgte at verificere en HMAC-signatur ved hjælp af en offentlig RSA- eller ECDSA-nøgle som hemmelig. Dermed kunne det være muligt for angribere at narre applikationer, som forventer tokens signeret med asymetriske nøgler, til at acceptere vilkårlige tokens. For flere oplysninger, se: https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/.
I den stabile distribution (jessie), er dette problem rettet i version 0.2.1-1+deb8u1.
I den ustabile distribution (sid), vil dette problem snart blive rettet.
Vi anbefaler at du opgraderer dine pyjwt-pakker.