Информация по безопасности / 2015 / Информация о безопасности -- DSA-3168-1 ruby-redcloth

Рекомендация Debian по безопасности

DSA-3168-1 ruby-redcloth -- обновление безопасности

Дата сообщения:

22.02.2015

Затронутые пакеты:

ruby-redcloth

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 774748.
В каталоге Mitre CVE: CVE-2012-6684.

Более подробная информация:

Коусуке Эбихара обнаружил, что redcloth, модуль Ruby, используемый для преобразования разметки Textile в HTML, неправильно очищает ввод. Это позволяет удалённому злоумышленнику выполнить атаку по принципу межсайтового скриптинга путём введения произвольного кода на JavaScript в создаваемый код HTML.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 4.2.9-2+deb7u2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 4.2.9-4.

Рекомендуется обновить пакеты ruby-redcloth.