Рекомендация Debian по безопасности
DSA-3293-1 pyjwt -- обновление безопасности
- Дата сообщения:
- 20.06.2015
- Затронутые пакеты:
- pyjwt
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 781640.
- Более подробная информация:
-
Тим Маклин обнаружил, что pyjwt, реализация JSON Web Token на языке Python, выполняет попытку проверки подписи HMAC, используя публичный ключ RSA или ECDSA в качестве секретного. Это может позволить удалённым злоумышленникам сделать так, чтоб приложения, ожидающие токены, подписанные асимметричными ключами, приняли произвольные токены. Дополнительную информацию см. по адресу: https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/.
В стабильном выпуске (jessie) эта проблема была исправлена в версии 0.2.1-1+deb8u1.
В нестабильном выпуске (sid) эта проблема будет исправлена позже.
Рекомендуется обновить пакеты pyjwt.