Bulletin d'alerte Debian

DLA-229-1 libnokogiri-ruby -- Mise à jour de sécurité pour LTS

Date du rapport :
27 mai 2015
Paquets concernés :
libnokogiri-ruby
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-6685.
Plus de précisions :

Un défaut d'entité externe XML (XXE) a été découvert dans Nokogiri, un module Ruby pour analyser le code HTML, XML et SAX. À l'aide d'entités externes XML, un attaquant distant pourrait indiquer une URL dans du code XML contrefait pour l'occasion qui pourrait provoquer l'ouverture d'une connexion à cette URL lors de son analyse.

Cette mise à jour active par défaut l'option nonet (et fournit de nouvelles méthodes pour désactiver les options par défaut si nécessaire).