DFN-CERT

Advisory-Archiv

2017-1532: PyJWT: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2017-08-31 16:37)
Neues Advisory
Version 2 (2017-09-18 16:34)
Für Fedora 26 und 27 stehen die Pakete 'python-jwt-1.5.3-1.fc26' und 'python-jwt-1.5.3-1.fc27' als Sicherheitsupdates im Status 'testing' bereit.
Version 3 (2017-09-20 11:33)
Debian veröffentlicht für die Distributionen Jessie (old stable) und Stretch (stable) Sicherheitsupdates für 'pyjwt', um die Schwachstelle zu beheben.
Version 4 (2017-10-23 13:28)
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'python3-PyJWT' bereit.
Version 5 (2017-12-19 14:33)
Für die Cloud-Produkte SUSE OpenStack Cloud und Cloud Magnum Orchestration 7, SUSE Linux Enterprise Module for Public Cloud 12 sowie SUSE Container as a Service Platform ALL steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle in python-PyJWT behoben wird. Im Sicherheitshinweis des Distributors wird fälschlicherweise die Schwachstelle CVE-2017-12880 statt CVE-2017-11424 aufgeführt.
Version 6 (2017-12-27 12:29)
Für openSUSE Leap 42.2 und 42.3 stehen neue Sicherheitsupdates für python-PyJWT bereit. Hier wird erneut fälschlicherweise die Schwachstelle CVE-2017-12880 statt CVE-2017-11424 aufgeführt.
Version 7 (2018-04-09 11:47)
Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form des Paketes 'python-jwt-1.6.1-1.el7' im Status 'testing' zur Behebung der Schwachstelle zur Verfügung.

Betroffene Software

Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in PyJWT ausnutzen, um JSON Web Token (JWT) von Grund auf herzustellen und zu manipulieren, um damit PyJWT zum Absturz zu bringen.

Für die Distributionen Ubuntu 17.04 und Ubuntu 16.04 LTS stehen Sicherheitsupdates zur Behebung der Schwachstelle zur Verfügung.

Schwachstellen:

CVE-2017-11424

Schwachstelle in PyJWT ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.