Рекомендация Debian по безопасности

DLA-229-1 libnokogiri-ruby -- обновление безопасности LTS

Дата сообщения:
27.05.2015
Затронутые пакеты:
libnokogiri-ruby
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-6685.
Более подробная информация:

В Nokogiri, пакете Ruby для выполнения грамматического разбора HTML, XML и SAX, была обнаружена уязвимость XML eXternal Entity (XXE). Используя внешние сущности XML, удалённый злоумышленник может указать URL в специально сформированном документе XML, который при его грамматическом разборе попытается открыть подключение к указанному URL.

Данное обновление по умолчанию включает опцию nonet (и предоставляет при необходимости новые методы отключения опций по умолчанию).