Debians sikkerhedsbulletin

DSA-3293-1 pyjwt -- sikkerhedsopdatering

Rapporteret den:
20. jun 2015
Berørte pakker:
pyjwt
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 781640.
Yderligere oplysninger:

Tim McLean opdagede at pyjwt, en implementering i Python af JSON Web Token, forsøgte at verificere en HMAC-signatur ved hjælp af en offentlig RSA- eller ECDSA-nøgle som hemmelig. Dermed kunne det være muligt for angribere at narre applikationer, som forventer tokens signeret med asymetriske nøgler, til at acceptere vilkårlige tokens. For flere oplysninger, se: https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/.

I den stabile distribution (jessie), er dette problem rettet i version 0.2.1-1+deb8u1.

I den ustabile distribution (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine pyjwt-pakker.