Информация по безопасности / 2018 / Информация о безопасности -- DSA-4171-1 ruby-loofah

Рекомендация Debian по безопасности

DSA-4171-1 ruby-loofah -- обновление безопасности

Дата сообщения:

13.04.2018

Затронутые пакеты:

ruby-loofah

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 893596.
В каталоге Mitre CVE: CVE-2018-8048.

Более подробная информация:

Команда безопасности приложения Shopify сообщила, что ruby-loofah, общая библиотека для изменения и преобразования HTML/XML документов и их фрагментов, позволяет атрибутам, которые не были явно разрешены, оставаться в очищенных выходных данных при получении на вход специально сформированных фрагментов HTML. Это может позволить выполнить инъекцию кода в браузер, потребляющий очищенные выходные данные.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 2.0.3-2+deb9u1.

Рекомендуется обновить пакеты ruby-loofah.

С подробным статусом поддержки безопасности ruby-loofah можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/ruby-loofah