Debians sikkerhedsbulletin

DSA-4107-1 django-anymail -- sikkerhedsopdatering

Rapporteret den:
7. feb 2018
Berørte pakker:
django-anymail
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 889450.
I Mitres CVE-ordbog: CVE-2018-6596.
Yderligere oplysninger:

Man opdagede at webhook-valideringen i Anymail, en Django-mailbackend til adskillige ESP'er, var sårbar over for et timingangreb. En fjernangriber kunne drage nytte af fejlen til at få fat i en WEBHOOK_AUTHORIZATION-hemmelighed, og indsende vilkårlige mailsporingsbegivenheder.

I den stabile distribution (stretch), er dette problem rettet i version 0.8-2+deb9u1.

Vi anbefaler at du opgraderer dine django-anymail-pakker.

For detaljeret sikkerhedsstatus vedrørende django-anymail, se dens sikkerhedsporingsside på: https://security-tracker.debian.org/tracker/django-anymail