Thông tin về bảo mật / 2015 / Thông tin bảo mật -- DSA-3293-1 pyjwt

Cố vấn bảo mật Debian

DSA-3293-1 pyjwt -- cập nhật bảo mật

Ngày báo cáo:

20 Th6 2015

Gói chịu tác động:

pyjwt

Có thể bị tấn công:

Có

Tham khảo cơ sở dữ liệu bảo mật:

Trong hệ thống báo lỗi Debian: Lỗi 781640.

Thêm thông tin:

Tim McLean đã khám phá ra rằng pyjwt, mã thực thi Python của Thẻ Web JSON, muốn thử kiểm tra chữ ký HMAC dùng khóa công RSA hay ECDSA như là một khóa bí mật. Việc này có thể cho phép kẻ tấn công trên mạng lừa các ứng dụng cần các thẻ được ký bằng các khóa đối xứng, thành ra chấp nhận các thẻ tùy ý. Thông tin thêm xem tại: https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/.

Với bản phân phối ổn định (jessie), lỗi này đã được sửa trong phiên bản 0.2.1-1+deb8u1.

Với bản phân phối chưa ổn định (sid), lỗi này sẽ được sửa sớm.

Chúng tôi khuyên bạn nên nâng cấp các gói pyjwt của mình.