Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3168-1 ruby-redcloth

Säkerhetsbulletin från Debian

DSA-3168-1 ruby-redcloth -- säkerhetsuppdatering

Rapporterat den:

2015-02-22

Berörda paket:

ruby-redcloth

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 774748.
I Mitres CVE-förteckning: CVE-2012-6684.

Ytterligare information:

Kousuke Ebihara upptäckte att redcloth, en Ruby-modul som används för att konvertera Textile-markup till HTML, inte ordentligt rengör dess indata. Detta tillåter en fjärrangripare att utgöra ett sajtöverskridande skriptangrepp genom att injicera godtycklig JavaScriptkod i den genererade HTML-koden.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 4.2.9-2+deb7u2.

För den instabila utgåvan (Sid) har detta problem rättats i version 4.2.9-4.

Vi rekommenderar att ni uppgraderar era ruby-redcloth-paket.