Рекомендация Debian по безопасности

DSA-3293-1 pyjwt -- обновление безопасности

Дата сообщения:
20.06.2015
Затронутые пакеты:
pyjwt
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 781640.
Более подробная информация:

Тим Маклин обнаружил, что pyjwt, реализация JSON Web Token на языке Python, выполняет попытку проверки подписи HMAC, используя публичный ключ RSA или ECDSA в качестве секретного. Это может позволить удалённым злоумышленникам сделать так, чтоб приложения, ожидающие токены, подписанные асимметричными ключами, приняли произвольные токены. Дополнительную информацию см. по адресу: https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 0.2.1-1+deb8u1.

В нестабильном выпуске (sid) эта проблема будет исправлена позже.

Рекомендуется обновить пакеты pyjwt.