Säkerhetsbulletin från Debian

DSA-3979-1 pyjwt -- säkerhetsuppdatering

Rapporterat den:
2017-09-19
Berörda paket:
pyjwt
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2017-11424.
Ytterligare information:

Man har upptäckt att PyJWT, en Pythonimplementation av JSON Web Token utför otillräcklig validering av några publika nyckeltyper, vilket kunde tillåta en fjärrangripare att skapa JWTs från grunden.

För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 0.2.1-1+deb8u2.

För den stabila utgåvan (Stretch) har detta problem rättats i version 1.4.2-1+deb9u1.

Vi rekommenderar att ni uppgraderar era pyjwt-paket.