Bulletin d'alerte Debian

DSA-3979-1 pyjwt -- Mise à jour de sécurité

Date du rapport :
19 septembre 2017
Paquets concernés :
pyjwt
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-11424.
Plus de précisions :

PyJWT, une implémentation en Python de JSON Web Token réalisait une validation insuffisante de certains types de clés publiques, ce qui pourrait permettre à un attaquant distant de contrefaire les jetons JWT dès leur création

Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 0.2.1-1+deb8u2.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 1.4.2-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets pyjwt.