데비안 보안 권고
DSA-4171-1 ruby-loofah -- 보안 업데이트
- 보고일:
- 2018년 04월 13일
- 영향 받는 패키지:
- ruby-loofah
- 위험성:
- 예
- 보안 데이터베이스 참조:
- 데비안 버그 추적 시스템: 버그 893596.
Mitre의 CVE 사전: CVE-2018-8048. - 추가 정보:
-
Shopify 응용 보안 팀은 ruby-loofah(HTML/XML 문서와 조각을 다루고 변환하는 일반 라이브러리)가 특별하게 조작된 HTML 조각으로 입력할 때, 화이트리스트 아닌 속성을 살균 출력에 표시할 수 있음을 보고했습니다. 이것은 코드 삽입 공격을 브라우저 안에 마운트하여 살균 출력을 소모할 수 있게 합니다.
안정 배포(stretch)에서, 이 문제는 버전 2.0.3-2+deb9u1에서 수정되었습니다.
ruby-loofah 패키지를 업그레이드 하는 게 좋습니다.
ruby-loofah의 자세한 보안 상태는 보안 추적페이지를 참조하십시오: https://security-tracker.debian.org/tracker/ruby-loofah