Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3168-1 ruby-redcloth

Debians sikkerhedsbulletin

DSA-3168-1 ruby-redcloth -- sikkerhedsopdatering

Rapporteret den:

22. feb 2015

Berørte pakker:

ruby-redcloth

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 774748.
I Mitres CVE-ordbog: CVE-2012-6684.

Yderligere oplysninger:

Kousuke Ebihara opdagede at redcloth, et Ruby-modul der anvendes til at konvertere Textile-markup til HTML, ikke på korrekt vis fornuftighedskontrollerede dets inddata. Dermed var det muligt for en fjernangriber at iværksætte skriptangreb på tværs af websteder, ved at indsprøjte vilkårlig JavaScript-kode i den genererede HTML-kode.

I den stabile distribution (wheezy), er dette problem rettet i version 4.2.9-2+deb7u2.

I den ustabile distribution (sid), er dette problem rettet i version 4.2.9-4.

Vi anbefaler at du opgraderer dine ruby-redcloth-pakker.