python-jwcrypto-1.5.6-3.el9
エラータID: AXSA:2026-889:01
リリース日:
2026/06/24 Wednesday - 13:45
題名:
python-jwcrypto-1.5.6-3.el9
影響のあるチャネル:
MIRACLE LINUX 9 for x86_64
Severity:
Low
Description:
以下項目について対処しました。
[Security Fix]
- Python の JWCrypto ライブラリには、リソースの制限を実施して
いない問題があるため、リモートの攻撃者により、巧妙に細工された
JWE トークンを送信することで、サービス拒否攻撃 (リソース枯渇) を
可能とする脆弱性が存在します。(CVE-2026-39373)
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2026-39373
JWCrypto implements JWK, JWS, and JWE specifications using python-cryptography. Prior to 1.5.7, an unauthenticated attacker can exhaust server memory by sending crafted JWE tokens with ZIP compression. The existing patch for CVE-2024-28102 limits input token size to 250KB but does not validate the decompressed output size. An unauthenticated attacker can cause memory exhaustion on memory-constrained systems. A token under the 250KB input limit can decompress to approximately 100MB. This vulnerability is fixed in 1.5.7.
JWCrypto implements JWK, JWS, and JWE specifications using python-cryptography. Prior to 1.5.7, an unauthenticated attacker can exhaust server memory by sending crafted JWE tokens with ZIP compression. The existing patch for CVE-2024-28102 limits input token size to 250KB but does not validate the decompressed output size. An unauthenticated attacker can cause memory exhaustion on memory-constrained systems. A token under the 250KB input limit can decompress to approximately 100MB. This vulnerability is fixed in 1.5.7.
追加情報:
N/A
ダウンロード:
SRPMS
- python-jwcrypto-1.5.6-3.el9.src.rpm
MD5: 64b1c93f3a42cc1e122e5200f4703a78
SHA-256: a45d1fdc3f98a293ac63385fe836e9ac8ad5409a665241d3d884debc0ddbd9b2
Size: 98.02 kB
Asianux Server 9 for x86_64
- python3-jwcrypto-1.5.6-3.el9.noarch.rpm
MD5: 3e2435a62743f82f194ee1d7515019c1
SHA-256: 82e59bc906b516e51767e6077ee98a1da2513a8f3658241b87097bd69cadd77f
Size: 85.18 kB