Debian dla-4564 : python3-jwt - security update

high Nessus プラグイン ID 312261

Language:

概要

リモートの Debian ホストに適用されていないセキュリティ関連の更新があります。

説明

リモートのDebian 11ホストには、dla-4564アドバイザリーで言及されている脆弱性の影響を受けるパッケージがインストールされています。

------------------------------------------------------------------------- Debian LTS アドバイザリー DLA-4564-1 [email protected] https://www.debian.org/lts/security/Jochen Sprickerhof 2026年5月5日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

パッケージ : pyjwt バージョン : 1.7.1-2+deb11u1 CVE ID : CVE-2026-32597

PyJWT(JSON Web TokenのPython実装)がRFC 7515 4.1.11で定義されたcrit(Critical)ヘッダーパラメータを検証していないことが判明しました。JWSトークンにPyJWTが理解できないcrit配列の拡張リストが含まれている場合、ライブラリはそのトークンを拒否するのではなく受け入れます。
これはRFCのMUST要件に違反しています。

Debian 11のBullseyeでは、この問題はバージョン1.7.1-2+deb11u1で修正されました。

Pyjwtパッケージのアップグレードをお勧めします。

pyjwtの詳細なセキュリティ状況については、以下のセキュリティトラッカーページをご覧ください。
https://security-tracker.debian.org/tracker/pyjwt

Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 署名

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。