Рекомендация Debian по безопасности
DSA-3168-1 ruby-redcloth -- обновление безопасности
- Дата сообщения:
- 22.02.2015
- Затронутые пакеты:
- ruby-redcloth
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 774748.
В каталоге Mitre CVE: CVE-2012-6684. - Более подробная информация:
-
Коусуке Эбихара обнаружил, что redcloth, модуль Ruby, используемый для преобразования разметки Textile в HTML, неправильно очищает ввод. Это позволяет удалённому злоумышленнику выполнить атаку по принципу межсайтового скриптинга путём введения произвольного кода на JavaScript в создаваемый код HTML.
В стабильном выпуске (wheezy) эта проблема была исправлена в версии 4.2.9-2+deb7u2.
В нестабильном выпуске (sid) эта проблема была исправлена в версии 4.2.9-4.
Рекомендуется обновить пакеты ruby-redcloth.