Bulletin d'alerte Debian

DSA-4107-1 django-anymail -- Mise à jour de sécurité

Date du rapport :
7 février 2018
Paquets concernés :
django-anymail
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 889450.
Dans le dictionnaire CVE du Mitre : CVE-2018-6596.
Plus de précisions :

La validation du « webhook » de Anymail, un dorsal de messagerie de Django pour divers fournisseurs de service de courriel, est prédisposée à une attaque temporelle. Un attaquant distant peut tirer avantage de ce défaut pour obtenir un secret WEBHOOK_AUTHORIZATION et envoyer des événements arbitraires de traçage de courriel.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 0.8-2+deb9u1.

Nous vous recommandons de mettre à jour vos paquets django-anymail.

Pour disposer d'un état détaillé sur la sécurité de django-anymail, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/django-anymail