Aviso de seguridad de Debian

DSA-4107-1 django-anymail -- actualización de seguridad

Fecha del informe:
7 de feb de 2018
Paquetes afectados:
django-anymail
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 889450.
En el diccionario CVE de Mitre: CVE-2018-6596.
Información adicional:

Se descubrió que la validación de webhooks de Anymail, un backend de correo electrónico para Django capaz de trabajar con múltiples proveedores de servicio de correo electrónico, es propensa a un ataque de temporización. Un atacante remoto puede aprovechar este defecto para hacerse con un WEBHOOK_AUTHORIZATION secreto y publicar eventos de seguimiento de correo electrónico arbitrarios.

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 0.8-2+deb9u1.

Le recomendamos que actualice los paquetes de django-anymail.

Para información detallada sobre el estado de seguridad de django-anymail consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/django-anymail