Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
python3-jwt
(any)
python-jwt
(any)
Описание
Тим Маклин обнаружил, что pyjwt, реализация JSON Web Token на языке Python,
выполняет попытку проверки подписи HMAC, используя публичный ключ RSA или ECDSA
в качестве секретного. Это может позволить удалённым злоумышленникам сделать так, чтоб приложения,
ожидающие токены, подписанные асимметричными ключами, приняли произвольные
токены. Дополнительную информацию см. по адресу: https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/.https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/">https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/. />
В стабильном выпуске (jessie) эта проблема была исправлена в
версии 0.2.1-1+deb8u1.
В нестабильном выпуске (sid) эта проблема будет исправлена позже.
Рекомендуется обновить пакеты pyjwt.
выполняет попытку проверки подписи HMAC, используя публичный ключ RSA или ECDSA
в качестве секретного. Это может позволить удалённым злоумышленникам сделать так, чтоб приложения,
ожидающие токены, подписанные асимметричными ключами, приняли произвольные
токены. Дополнительную информацию см. по адресу: https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/.
версии 0.2.1-1+deb8u1.
В нестабильном выпуске (sid) эта проблема будет исправлена позже.
Рекомендуется обновить пакеты pyjwt.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
pyjwt - 0.2.1-1+deb8u1
Debian GNU/Linux 8:
noarch:
pyjwt - 0.2.1-1+deb8u1
