Рекомендация Debian по безопасности

DSA-4107-1 django-anymail -- обновление безопасности

Дата сообщения:
07.02.2018
Затронутые пакеты:
django-anymail
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 889450.
В каталоге Mitre CVE: CVE-2018-6596.
Более подробная информация:

Было обнаружено, что проверка webhook в Anymail, Django-движках электронной почты для различных ESP, уязвима к атакам по таймингам. Удалённый злоумышленник может использовать эту уязвимость для получения закрытой информации из WEBHOOK_AUTHORIZATION и создания произвольных отслеживающих событий почтового ящика.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 0.8-2+deb9u1.

Рекомендуется обновить пакеты django-anymail.

С подробным статусом поддержки безопасности django-anymail можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/django-anymail