Säkerhetsbulletin från Debian

DSA-4107-1 django-anymail -- säkerhetsuppdatering

Rapporterat den:
2018-02-07
Berörda paket:
django-anymail
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 889450.
I Mitres CVE-förteckning: CVE-2018-6596.
Ytterligare information:

Man har upptäckt att webhookvalideringen i Anymail, en Django e-postbakände för flera ESPs, är sårbar för ett timing-angrepp. En fjärrangripare kan dra fördel av denna brist för att få tag på en WEBHOOK_AUTHORIZATION-hemlighet och posta godtyckliga e-postspårningshändelser.

För den stabila utgåvan (Stretch) har detta problem rättats i version 0.8-2+deb9u1.

Vi rekommenderar att ni uppgraderar era django-anymail-paket.

För detaljerad säkerhetsstatus om django-anymail vänligen se dess säkerhetsspårarsida på: https://security-tracker.debian.org/tracker/django-anymail