Sikkerhedsoplysninger / 2018 / Sikkerhedsoplysninger -- DSA-4171-1 ruby-loofah

Debians sikkerhedsbulletin

DSA-4171-1 ruby-loofah -- sikkerhedsopdatering

Rapporteret den:

13. apr 2018

Berørte pakker:

ruby-loofah

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 893596.
I Mitres CVE-ordbog: CVE-2018-8048.

Yderligere oplysninger:

Shopify Application Security Team rapporterede at ruby-loofah, et generelt bibliotek til behandling og transformering af HTML-/XML-dokumenter og -fragmenter, tillod at ikke-hvidlistede attributter kunne være til stede i rensede uddata, efter at have modtaget inddata med særligt fremstillede HTML-fragmenter. Dermed kunne det måske være muligt at iværksætte et kodeindsprøjtningsangreb i en browser, der benytter de rensede uddata.

I den stabile distribution (stretch), er dette problem rettet i version 2.0.3-2+deb9u1.

Vi anbefaler at du opgraderer dine ruby-loofah-pakker.

For detaljeret sikkerhedsstatus vedrørende ruby-loofah, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/ruby-loofah