DFN-CERT Portal

Schwachstellen

DFN-CERT-2018-0268: Anymail: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie

Version 1 (2018-02-09 12:29)
Neues Advisory

Betroffene Software

Anymail < 1.2.1

Betroffene Plattformen

Debian Linux 9.3 Stretch

Lösung

Patch

Debian Security Advisory DSA-4107-1

Beschreibung

Eine Schwachstelle in Anymail ermöglicht einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen.

Debian stellt für die stabile Distribution Stretch (9.3) ein Backport-Sicherheitsupdate in Form des Pakets 'django-anymail' in Version '0.8-2+deb9u1' zur Verfügung.

Schwachstellen

CVE-2018-6596: Schwachstelle in Anymail ermöglicht Ausspähen von Informationen

In 'webhooks/base.py' in Anymail (auch bekannt als 'django-anymail') vor Version 1.2.1 besteht die Möglichkeit für einen zeitlich basierten Angriff ('Timing-Attack') auf das 'WEBHOOK_AUTHORIZATION'-Passwort, wodurch einem Angreifer das Ausspähen von Informationen und in der Folge das Versenden beliebiger Email-Tracking-Ereignisse ermöglicht wird.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.