Информация по безопасности / 2015 / Информация о безопасности -- DSA-3293-1 pyjwt

Рекомендация Debian по безопасности

DSA-3293-1 pyjwt -- обновление безопасности

Дата сообщения:

20.06.2015

Затронутые пакеты:

pyjwt

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 781640.

Более подробная информация:

Тим Маклин обнаружил, что pyjwt, реализация JSON Web Token на языке Python, выполняет попытку проверки подписи HMAC, используя публичный ключ RSA или ECDSA в качестве секретного. Это может позволить удалённым злоумышленникам сделать так, чтоб приложения, ожидающие токены, подписанные асимметричными ключами, приняли произвольные токены. Дополнительную информацию см. по адресу: https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 0.2.1-1+deb8u1.

В нестабильном выпуске (sid) эта проблема будет исправлена позже.

Рекомендуется обновить пакеты pyjwt.