Säkerhetsbulletin från Debian
DSA-3293-1 pyjwt -- säkerhetsuppdatering
- Rapporterat den:
- 2015-06-20
- Berörda paket:
- pyjwt
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 781640.
- Ytterligare information:
-
Tim McLean upptäckte att pyjwt, en Pythonimplementation av JSON Web Token, kunde komma att verifiera en HMAC-signatur med hjälp av en RSA eller ECDSA publik nyckel som hemlighet. Detta kunde tillåta fjärrangripare att lura applikationer som förväntade sig symboler som var signerade av asymetriska nycklar till att acceptera godtyckliga symboler. För mer information se: https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/.
För den stabila utgåvan (Jessie) har detta problem rättats i version 0.2.1-1+deb8u1.
För den instabila utgåvan (Sid) kommer detta problem att rättas inom kort.
Vi rekommenderar att ni uppgraderar era pyjwt-paket.